Parere15/2011 - WP187

sulla definizione di consenso

adottato il 13 luglio 2011

Sintesi

Il presente parere fornisce un'analisi dettagliata della nozionedi consenso attualmente impiegata nella direttiva in materia di protezione deidati e nella direttiva relativa alla vita privata e alle comunicazionielettroniche.Facendo tesoro dell'esperienza dei membri del Gruppo di lavoro"Articolo 29", il parere fornisce numerosi esempi di consenso validoe non valido, soffermandosi su elementi chiave quali il significato di"manifestazione", "manifestazione di volontà libera", "specifico","inequivocabile", "esplicito", "informato", ecc. Il parere chiarisceulteriormente alcuni aspetti correlati alla nozione di consenso, come ilmomento in cui dev'essere ottenuto il consenso, la differenza tra diritto aopporsi e consenso, ecc.

Il consenso è uno dei vari motivi che legittimano il trattamentodei dati personali. Svolge un ruolo importante, ma non esclude la possibilitàche, a seconda del contesto, possano essere invocati altri fondamenti giuridiciforse più appropriati, dalla prospettiva sia del responsabile del trattamentosia dell'interessato. Se usato correttamente, il consenso rappresenta unostrumento che offre all'interessato una forma di controllo sul trattamento deidati che lo riguardano. Se utilizzato in maniera errata, il controllodell'interessato sul trattamento dei dati che lo riguardano è soltantoillusorio e il consenso costituisce un fondamento inadeguato per legittimare iltrattamento.

Il presente parere è stato redatto anche per rispondere a unarichiesta di contributi della Commissione nell'ambito della revisione in corsodella direttiva in materia di protezione dei dati. Pertanto contieneraccomandazioni di cui si dovrà tener conto nell'ambito della revisione, tracui:

(i) fare chiarezza sul significato del concetto di consenso"inequivocabile" e spiegare che soltanto il consenso fondato su dichiarazioni oazioni intese a esprimere accettazione costituisce un valido consenso;

(ii) obbligare i responsabili dei dati a mettere a puntomeccanismi per dimostrare di aver effettivamente ottenuto il consenso(nell'ambito di un obbligo generale di rendiconto);

(iii) aggiungere una prescrizione esplicita relativa alla qualitàe all'accessibilità delle informazioni che costituiscono il fondamento per ilconsenso;

(iv) una serie di suggerimenti relativi ai minori e ad altrisoggetti privi della capacità di agire.

IL GRUPPO PER LA TUTELA DELLE PERSONECON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI,

istituito con direttiva 95/46/CE del Parlamento europeo e delConsiglio, del 24 ottobre 1995, visto l'articolo 29 e l'articolo 30, paragrafo1, lettera a), e paragrafo 3, della suddetta direttiva, visto il proprioregolamento interno,

HA ADOTTATO IL SEGUENTE PARERE:

I.       Introduzione

La nozione di "consenso dell'interessato" è sempre statafondamentale nella sfera della protezione dei dati; nonostante ciò, non sempreè chiaro quando il consenso sia necessario e quali condizioni debbano esseresoddisfatte perché possa essere considerato valido. Di conseguenza, ciò puòportare, nei diversi Stati membri, ad approcci diversi e pareri divergenti perquanto concerne le buone prassi. Questa situazione può indebolire la posizionedegli interessati. Il problema si è fatto più critico da quando il trattamentodei dati personali è divenuto un elemento via via più importante della societàmoderna, negli ambienti on-line così come in quelli off-line, un elemento chespesso vede il coinvolgimento di Stati membri diversi. Ecco perché il Gruppo dilavoro "Articolo 29", nell'ambito del suo programma di lavoro per il2010-2011, ha deciso di esaminare attentamente tale situazione.

Il consenso è anche uno degli argomenti in merito ai quali laCommissione ha chiesto contributi esterni nell'ambito della revisione delladirettiva 95/46/CE. Nella comunicazione della Commissione intitolata "Unapproccio globale alla protezione dei dati personali nell'Unione europea"1 si legge: "La Commissione esaminerà come rendere più chiare erafforzare le norme sul consenso". La comunicazione fornisce la seguenteulteriore spiegazione2:

"Laddove è necessario il consenso informato, le normevigenti prevedono che il consenso dell'interessato al trattamento dei datipersonali che lo riguardano debba tradursi in una 'manifestazione di volontàlibera, specifica e informata' con la quale l'interessato segnala di essered'accordo con il trattamento. Tuttavia dette condizioni sono al momento interpretatein modo diverso nei diversi Stati membri: così, ad esempio, mentre in alcuniStati membri vige l'obbligo generale del consenso scritto, altri presuppongonoil tacito consenso."

"Inoltre, negli ambienti online – data l'opacitàdelle politiche relative alla privacy – è spesso ancora più difficilecomprendere i propri diritti e dare un consenso informato. Ciò è ulteriormentecomplicato dal fatto che talvolta non è nemmeno chiaro in che cosa consista il consensolibero, specifico e informato;

è questo il caso della pubblicità comportamentale, dove leimpostazioni del browser esprimono, secondo alcuni ma non secondo tutti, ilconsenso dell'utente."

"» quindi opportuno fare chiarezza sulle condizioni per ilconsenso, onde garantire che questo sia dato sempre con conoscenza di causa eche l'interessato ne sia pienamente consapevole e sappia per quale trattamentolo sta accordando, come prevede l'articolo 8 della Carta dei dirittifondamentali dell'Unione europea. Disposizioni essenziali chiare possonoinoltre favorire lo sviluppo di iniziative di autoregolamentazione e la ricercadi soluzioni pratiche conformi al diritto dell'UE."

Per rispondere alla richiesta di contributi formulata dallaCommissione e per dare attuazione al suo programma di lavoro per il periodo2010-2011, il Gruppo di lavoro "Articolo 29" si è impegnato aredigere un parere. Scopo del parere è chiarire gli aspetti critici al fine dioffrire una comprensione comune del quadro giuridico attuale. Al tempo stesso,questo intervento segue la logica di precedenti pareri vertenti su altre disposizionifondamentali della direttiva3. Poichél'introduzione di potenziali modifiche al quadro attuale richiederà ancora deltempo, il fatto di chiarire la nozione attuale di "consenso" e i suoi elementi principalinon è privo di meriti e vantaggi. Inoltre, fare chiarezza sulle disposizioniattuali contribuirà a mettere in evidenza i punti ancora perfettibili.Pertanto, sulla base dell'analisi effettuata, il parere tenterà di formulareraccomandazioni politiche per assistere la Commissione e i responsabilipolitici nella definizione di modifiche al quadro giuridico applicabile inmateria di protezione dei dati.

I contenuti fondamentali del parere sono i seguenti: dopo averfornito una panoramica della storia legislativa e del ruolo del consenso nellalegislazione in materia di protezione dei dati, saranno esaminati i varielementi e requisiti che devono essere soddisfatti affinché il consenso possaessere considerato valido ai sensi della legislazione applicabile, compresealcune parti pertinenti della direttiva 2002/58/CE relativa alla vita privata ealle comunicazioni elettroniche. L'analisi è illustrata con esempi praticiraccolti dalle esperienze nazionali. Tale esercizio suffraga le raccomandazionicontenute nella parte conclusiva del presente parere, in base alle quali, perrichiedere e ottenere un consenso valido ai sensi della direttiva, devonoessere presenti alcuni elementi. Esso fornisce inoltre raccomandazionipolitiche da sottoporre all'attenzione dei responsabili politici nell'ambitodella revisione della direttiva 95/46/CE.

II.      Osservazionigenerali e aspetti relativi alla politica in esame

II.1.   Breve panoramica

Benché in alcune leggi nazionali in materia di protezione deidati/vita privata adottate negli anni '70 il consenso figurasse tra ifondamenti giuridici che legittimano il trattamento dei dati personali4, questasituazione non ha trovato riscontro nella successiva convenzione n. 108 delConsiglio d'Europa5. Non esiste alcun motivo palese percui la convenzione non riservi al consenso un ruolo più preminente6.

A livello di Unione europea, al contrario, il consenso comecriterio per la legittimazione di operazioni di trattamento dei dati è statoprevisto sin dall'inizio del processo legislativo che si è concluso conl'adozione della direttiva 95/46/CE. Nel 1990, l'articolo 12 della propostadella Commissione7 definiva lecaratteristiche che il consenso doveva avere per legittimare le operazioni ditrattamento dei dati: esso cioè doveva essere "fornito espressamente" edessere "specifico". L'articolo 17, in materia di dati sensibili,prescriveva che il consenso fosse "espresso e scritto". Nel 1992 la propostamodificata della Commissione8 introduceva untesto simile alla definizione di "consenso dell'interessato" contenutanell'odierno articolo 2, lettera g), che sostituisce l'originale articolo 12.La proposta stabiliva che il consenso dovesse essere "libero e specifico".Le parole "fornito espressamente" sono state sostituite dal concetto diconsenso come "espressa indicazione della sua [dell'interessato] volontà".Il memorandum esplicativo che accompagna la proposta modificata del 19929 stabiliva che il consenso dovesse essere ottenuto oralmente o periscritto. Nel caso dei dati sensibili, il requisito del consenso "scritto"rimaneva valido. Nel 1992 la proposta modificata della Commissioneristrutturava la precedente proposta e introduceva un articolo 7 che elencava icriteri di liceità del trattamento. L'articolo 7, lettera a), stabiliva che idati potessero essere trattati qualora "la persona interessata [avesse] datoil suo consenso"; l'elenco originale comprendeva, così come comprendetuttora, cinque altri fondamenti giuridici (oltre al consenso) in base ai qualipuò essere legittimato il trattamento dei dati.

Nel 1995 la posizione comune del Consiglio10 ha introdotto la definizione definitiva (odierna) diconsenso. Esso è definito cioè come "qualsiasi manifestazione di volontàlibera, specifica e informata con la quale la persona interessata accetta che idati personali che la riguardano siano oggetto di un trattamento". Ilprincipale cambiamento rispetto alla posizione della Commissione del 1992riguardava la cancellazione del termine "espressa" che precedeva iltermine "indicazione". Al tempo stesso, all'articolo 7, lettera a), èstato aggiunto il termine "inequivocabile", cosicché esso recita: "[se] lapersona interessata ha manifestato il proprio consenso in manierainequivocabile". Il requisito del consenso scritto per quanto concerne idati sensibili è stato sostituito con il seguente: "consenso esplicito".

Nelle sue motivazioni il Consiglio11nonspiega, nello specifico, tali modifiche. Tuttavia, alla pagina 4 si legge che "...numerose modifiche [...] introducono una flessibilità che, pur garantendo unlivello equivalente di tutela [...], non dovrebbe comportare un abbassamentodel medesimo, in quanto le suddette modifiche consentono un'applicazioneefficace e non burocratica dei principi generali fissati in base all'estrema varietàdelle caratteristiche dei trattamenti di dati [...]".

Il ruolo del consenso è stato esplicitamente riconosciuto nellaCarta dei diritti fondamentali dell'UE nella parte in cui tratta dellaprotezione dei dati personali. L'articolo 8, paragrafo 2, stabilisce che i datipersonali possono essere trattati "in base al consenso della personainteressata o a un altro fondamento legittimo previsto dalla legge".Pertanto, il consenso è riconosciuto come un aspetto essenziale del dirittofondamentale alla protezione dei dati di carattere personale. Al tempo stesso,il consenso così come definito dalla Carta non è l'unico fondamento giuridicoche permette il trattamento dei dati personali; la Carta esplicitamentericonosce che la legge può definire altri motivi legittimanti, come nel casodella direttiva 95/46/CE.

In sintesi, dalla storia legislativa, soprattutto riferita all'UE,emerge che il consenso ha rivestito un ruolo importante per le nozioni diprotezione dei dati e di vita privata. Parallelamente, emerge che il consensonon è stato considerato come l'unico fondamento giuridico per la legittimazionedelle operazioni di trattamento dei dati. Dai lavori preparatori delladirettiva 95/46/CE si evince un relativo accordo sulle condizioni chesoddisfano la nozione di valido consenso, nel senso che il consenso può dirsitale se è libero, specifico e informato. Tuttavia, non mancano leincertezze riguardo alle modalità con cui il consenso può essere espresso, secioè debba essere esplicito, scritto, ecc. Tale situazione è analizzata più neldettaglio nelle pagine seguenti.

II.2.   Ruolo della nozione diconsenso: motivo di liceità

Motivo generico/specifico:

Nella direttiva il consenso è utilizzato sia come criteriogenerico di liceità (articolo 7) sia come criterio specifico in alcuni contestiparticolari (articolo 8, paragrafo 2, lettera a), articolo 26, paragrafo 1,lettera a)). L'articolo 7 cita il consenso come il primo di sei diversiprincipi in base ai quali il trattamento dei dati personali è considerato legittimo,mentre l'articolo 8 contempla la possibilità di utilizzare il consenso perlegittimare il trattamento riguardante categorie particolari di dati(sensibili), che altrimenti sarebbe vietato. In quest'ultimo caso la norma perottenere il consenso è più rigorosa, poiché trascende la norma generale eimpone che il consenso sia "esplicito".

Inoltre, la direttiva permette un'interazione con altre norme,come si evince dal considerando 23: " (...) gli Stati membri sonoautorizzati ad assicurare la messa in opera della tutela delle persone siamediante una legge generale relativa alla tutela delle persone contro iltrattamento dei dati personali, sia mediante leggi settoriali (...)". Ilfunzionamento di questo sistema a livello pratico è complesso: gli Stati membrihanno adottato ciascuno un loro approccio e, in alcuni casi, ciò ha prodottodiscrepanze.

La nozione di consenso non è sempre stata trasposta fedelmente alivello nazionale. A titolo di esempio, la nozione generica di consenso noncompare nella normativa francese in materia di protezione dei dati, ma ilsignificato del termine è stato spiegato con precisione e coerenza nellagiurisprudenza dell'autorità per la protezione dei dati (CNIL), in relazionealla definizione contenuta nella direttiva sulla protezione dei dati. Nel RegnoUnito il concetto di consenso è stato sviluppato dalla common law conriferimento al testo della direttiva. In alcuni settori, inoltre, il consenso èstato talvolta definito in maniera esplicita, per esempio nell'ambito della vitaprivata e delle comunicazioni elettroniche, della pubblica amministrazioneon-line e dei servizi sanitari in rete. La nozione elaborata nella normativaspecifica è quindi destinata a interagire con quella sviluppata nellalegislazione generica in materia di protezione dei dati.

La nozione di consenso è richiamata anche in altri rami deldiritto, in particolare nel diritto contrattuale. In questo ambito, perassicurare che un contratto sia valido, sono presi in considerazione criteridiversi rispetto a quelli menzionati nella direttiva, tra cui l'età,l'influenza indebita, ecc. Il campo di applicazione del diritto civile e quellodella direttiva tuttavia non sono in contrasto tra loro, ma si sovrappongono:la direttiva cioè non contempla le condizioni generali della validità delconsenso nel contesto del diritto civile, ma nemmeno le esclude. Ciò significa,per esempio, che per valutare la validità di un contratto nell'ambitodell'articolo 7, lettera b), della direttiva si dovrà tener conto delle normedi diritto civile. Perché possa essere considerato valido ai sensi del dirittocivile, oltre all'applicazione delle condizioni generali, il consenso previstodall'articolo 7, lettera a), dev'essere anche interpretato alla lucedell'articolo 2, lettera h), della direttiva.

Tale interazione con altre legislazioni non è evidente soltanto alivello nazionale ma anche a livello europeo. Un'interpretazione analoga deglielementi della direttiva è stata fornita in altri contesti, come si evince dauna sentenza della Corte di giustizia nel settore del diritto del lavoro12: in tal caso il consenso era necessario per rinunciare a un dirittosociale. La Corte ha interpretato la nozione di consenso nell'ambito delladirettiva 93/104/CE concernente taluni aspetti dell'organizzazione dell'orariodi lavoro, stabilendo che fosse necessario ottenere "il consenso dellavoratore" (quindi non di un sindacato per conto del lavoratore), einterpretando il termine "consenso" (...) come libero assenso informato. Hainoltre statuito che, qualora il lavoratore sottoscriva un contratto di lavorocontenente un riferimento a un contratto collettivo che autorizza unsuperamento dell'orario massimo, le prescrizioni relative alla necessità che ilconsenso sia esplicitamente e liberamente espresso, in piena cognizione dicausa, non sono soddisfatte. Tale interpretazione della nozione di consenso inun contesto specifico collima quasi pienamente con il testo della direttiva95/46/EC.

Il consenso non è l'unico motivo di liceità

La direttiva presenta chiaramente il consenso come un motivo diliceità. Alcuni Stati membri, tuttavia, lo annoverano tra i motivipreferenziali, talvolta di portata analoga a quella di un principiocostituzionale, correlato allo status di diritto fondamentale riconosciuto allaprotezione dei dati. Altri Stati membri possono intenderlo come una di seidiverse opzioni, un obbligo valido a fini operativi che non è più importantedelle sue alternative. Fare chiarezza sul rapporto del consenso rispetto aglialtri motivi di liceità (per esempio, in relazione ai contratti, alle missionidi interesse pubblico o agli interessi legittimi del responsabile deltrattamento, e al diritto di opporsi) contribuirà a porre in evidenza il ruolodel consenso in circostanze specifiche.

L'ordine in cui i motivi legittimanti sono elencati all'articolo7, pur essendo importante, non significa che il consenso costituisce sempre ilmotivo più appropriato per legittimare il trattamento dei dati personali.L'articolo 7 inizia elencando il consenso e prosegue citando gli altri criteri,tra cui i contratti e gli obblighi legali, fino ad arrivare gradualmenteall'equilibrio degli interessi. Si deve notare che, per gli altri cinque motividiversi dal consenso, è richiesta la prova della "necessità", che limita rigorosamenteil contesto in cui tali motivi possono trovare applicazione. Ciò tuttavia nonsignifica che, per l'obbligo relativo al consenso, sia garantito un margine dimanovra maggiore rispetto agli altri motivi menzionati nell'articolo 7.

Inoltre, l'ottenimento del consenso non esonera il responsabiledel trattamento dagli obblighi di cui all'articolo 6 con riferimento aiprincipi di lealtà, necessità e proporzionalità, oltre che di qualità dei dati.Per esempio, anche qualora il trattamento dei dati personali poggi sul consensodell'utilizzatore, ciò di per sé non legittima una raccolta dei datisupplementare rispetto allo scopo specifico.

Né l'ottenimento del consenso consente di aggirare altredisposizioni, come l'articolo 8, paragrafo 5. Soltanto in casi estremamentelimitati il consenso può legittimare attività di trattamento dei dati chealtrimenti sarebbero vietate, per esempio per quanto concerne il trattamento ditaluni dati sensibili (articolo 8) o per autorizzare l'uso di dati personali aifini dell'ulteriore trattamento, indipendentemente dal fatto che ciò siacompatibile con lo scopo originale. In linea di principio, il consenso nondev'essere considerato come una forma di esonero dagli altri principi diprotezione dei dati, bensì come una salvaguardia. Esso è, in prima linea, unmotivo di liceità e non comporta una rinuncia all'applicazione di altriprincipi.

La scelta del motivo legittimante più appropriato non è sempreovvia, soprattutto nel caso dell'articolo 7, lettere a) e b). Secondo l'articolo7, lettera b), il trattamento è necessario per eseguire un contratto o misureprecontrattuali prese su richiesta dell'interessato, e non altro. Unresponsabile del trattamento che si avvale dell'articolo 7, lettera b), comemotivo legittimante nell'ambito della conclusione di un contratto non puòampliare tale fondamento per giustificare un trattamento di dati che va oltrequanto necessario: deve invece legittimare tale trattamento supplementare conun consenso specifico al quale si applicano le disposizioni dell'articolo 7,lettera a). Questa è la dimostrazione che, nei termini contrattuali, ènecessaria maggiore granularità. Nella pratica, ciò significa che può esserenecessario ottenere il consenso come ulteriore condizione per dar corso ad alcuneparti del trattamento. O il trattamento è necessario all'esecuzione delcontratto oppure è indispensabile ottenere il (libero) consenso.

In alcune operazioni potrebbero trovare applicazione più motivilegittimanti contemporaneamente. In altri termini, un qualsiasi trattamento deidati personali deve sempre essere conforme a uno o più motivi di liceità. Ciònon esclude l'uso simultaneo di più criteri, purché siano utilizzati nelcontesto appropriato. Nell'ambito del contratto con l'interessato può essere necessarioraccogliere alcuni dati e procedere a un ulteriore trattamento – articolo7, lettera b); altre forme di trattamento possono essere necessarie peradempiere a un obbligo legale – articolo 7, lettera c); per la raccoltadi ulteriori informazioni può essere necessario ottenere un consenso specifico– articolo 7, a); infine, altre forme ancora di trattamento potrebberoessere legittimate anche ai fini dell'equilibrio degli interessi –articolo 7, lettera f).

II.3.   Nozioni correlate

Controllo

La nozione di consenso è tradizionalmente correlata all'idea chel'interessato debba poter controllare l'uso che si fa dei suoi dati. Dallaprospettiva dei diritti fondamentali, il controllo esercitato attraverso ilconsenso è un concetto importante. Al tempo stesso, e dalla medesimaprospettiva, la decisione di un individuo di accettare un'operazione ditrattamento dei dati dovrebbe essere soggetta a rigorosi criteri, soprattuttose si tiene conto del fatto che, così facendo, un individuo potrebbe rinunciarea un suo diritto fondamentale.

Benché il consenso sia un elemento importante per conferire agliinteressati il controllo dei propri dati, esso non rappresenta l'unicostrumento utile a tal fine. La direttiva fornisce altri mezzi di controllo, inparticolare il diritto di opporsi al trattamento, ma questo strumento è diversoe può essere utilizzato in una fase diversa del trattamento, ossia dopo che iltrattamento è iniziato e sulla base di un diverso fondamento giuridico.

Il consenso è collegato alla nozione di autodeterminazione delleinformazioni. L'autonomia dell'interessato è sia una precondizione sia unaconseguenza del consenso: essa conferisce all'interessato una certa influenzasul trattamento dei dati. Tuttavia, come si avrà modo di dimostrare nelseguente capitolo, tale principio possiede dei limiti, e vi sono casi in cuil'interessato non è in condizione di prendere realmente una decisione. Ilresponsabile del trattamento potrebbe voler sfruttare il consensodell'interessato come mezzo per trasferire a quest'ultimo la sua propriaresponsabilità giuridica. Per esempio, l'interessato che ha autorizzato lapubblicazione dei dati personali in Internet, o il trasferimento degli stessi aun soggetto dubbio in un paese terzo, potrebbe subire danni ma il responsabiledel trattamento potrebbe sostenere che tale situazione altro non è se non laconseguenza dell'assenso fornito dall'interessato. Per tale ragione èimportante rammentare che un consenso pienamente valido non solleva ilresponsabile del trattamento dai suoi obblighi e non legittima un trattamentoche sarebbe altrimenti sleale ai sensi dell'articolo 6 della direttiva.

La nozione di controllo è inoltre correlata al fatto chel'interessato dovrebbe poter revocare il suo consenso. La revoca del consensonon è retroattiva, ma in linea di principio dovrebbe servire a impedirel'ulteriore trattamento dei dati dell'interessato da parte del responsabile deltrattamento. Il modo in cui ciò avviene nella pratica sarà esaminato di seguito(capitolo III).

Trasparenza

Una seconda dimensione del consenso riguarda le informazioni: latrasparenza nei confronti dell'interessato. La trasparenza è una condizione peravere il controllo dei propri dati e il presupposto in base al quale ilconsenso è reso valido. La trasparenza, in quanto tale, non è sufficiente perlegittimare il trattamento dei dati personali, ma costituisce una condizioneessenziale per avere la certezza che il consenso sia valido.

Per essere valido, il consenso dev'essere informato. Ciòpresuppone che tutte le informazioni necessarie debbano essere fornite almomento in cui è richiesto il consenso e che tali informazioni debbano riguardaregli aspetti sostanziali del trattamento che si intende legittimare attraversola richiesta di consenso. Tra queste solitamente figurano le informazionielencate all'articolo 10 della direttiva, ma esse dipendono anche dal momento edalle circostanze in cui è richiesto il consenso.

Indipendentemente dal fatto che il consenso sia o meno accordato,la trasparenza del trattamento dei dati è anche una condizione di lealtà, ilcui valore permane anche dopo che sono state fornite le informazioni iniziali.

Attività/tempistiche: modalità di manifestazione delconsenso

Questa terza dimensione si riferisce al modo in cui è esercitatoil controllo: in che modo è possibile esprimere il consenso e quando dovrebbeessere richiesto per avere la certezza che si tratti di un consenso reale?Queste domande hanno un impatto decisivo sulle modalità di esercizio e diinterpretazione del consenso.

Benché la direttiva non specifichi il momento in cui dev'essererichiesto il consenso, dal testo delle varie disposizioni è evidente che, ingenerale, il consenso deve essere rilasciato prima dell'inizio del trattamento13. Ottenere il consenso prima dell'inizio del trattamento dei datiè un requisito fondamentale per legittimare il trattamento dei dati stessi.Questo aspetto è ulteriormente approfondito nel capitolo III.B, in cui èesaminata la direttiva 2002/58/CE relativa alla vita privata e allecomunicazioni elettroniche.

Il consenso, considerato come l'autorizzazione accordatadall'individuo al trattamento di dati che lo riguardano, può essere espresso inmolti modi: l'articolo 2, lettera h), si riferisce a qualsiasi"manifestazione"; esso dev'essere espresso in maniera inequivocabile (articolo7, lettera a)) ed essere esplicito nel caso del trattamento dei dati sensibili(a norma dell'articolo 8). » tuttavia essenziale sottolineare che il consenso èdiverso dal diritto a opporsi al trattamento previsto dall'articolo 14. Mentrenell'articolo 7, lettera a), il responsabile del trattamento non è autorizzatoa trattare i dati fino a quando non ha ottenuto il consenso dell'interessato,l'articolo 7, lettera f), stabilisce che il responsabile del trattamento puòtrattare i dati, nel rispetto di talune condizioni e salvaguardie, purchél'interessato non abbia espresso la sua volontà contraria. Come si legge neldocumento di lavoro n. 114 del Gruppo di lavoro: "l'importanza che ilconsenso sia un atto esplicito esclude di fatto ogni sistema in cui la personainteressata avrebbe il diritto di opporsi al trasferimento solo dopo cheè avvenuto"14.

Per tali ragioni, il diritto di opposizione ai sensi dell'articolo14 della direttiva non dovrebbe essere confuso con il consenso. Quest'ultimorappresenta una motivazione per legittimare il trattamento dei dati personaliin conformità dell'articolo 7, lettera a), dell'articolo 8, paragrafo 2,lettera a), dell'articolo 26, paragrafo 1, o secondo quanto previsto insvariate disposizioni della direttiva 2002/58/CE.

II.4.   Uso appropriato delconsenso come fondamento giuridico

» opportuno precisare che il consenso non rappresenta sempre lostrumento principale o quello più auspicabile per legittimare il trattamentodei dati personali.

Talvolta il consenso è un debole fondamento per giustificare iltrattamento dei dati personali e perde il suo valore quando viene esteso olimitato al fine di adattarlo a situazioni in cui non era destinato a essereutilizzato. » indispensabile quindi ricorrere al consenso "nel contestoadatto". Se utilizzato in circostanze inadeguate, perché è improbabile chesiano presenti gli elementi che costituiscono un consenso valido, si verrebbe acreare una situazione di estrema vulnerabilità e, nella pratica, ciò finirebbeper indebolire la posizione dell'interessato.

Questa impostazione è già stata condivisa dal gruppo di lavoro e dalGEDP nei contributi rispettivamente forniti al dibattito sul nuovo quadrogiuridico in materia di protezione dei dati. Si è dichiarato, in particolare,che "non è sempre possibile stabilire con chiarezza in che cosa consista unconsenso vero e univoco. Alcuni responsabili del trattamento dei dati sfruttanoquesta incertezza affidandosi a metodi inadeguati per l'espressione di unconsenso vero e univoco"15 in violazionedelle condizioni dell'articolo 6 della direttiva. Sulla stessa linea, il Gruppodi lavoro "Articolo 29" ha osservato che la complessità dellepratiche di raccolta dei dati, dei modelli commerciali, delle relazioni trafornitori e delle applicazioni tecnologiche sovrasta molto spesso la capacità ola volontà dell'individuo di prendere decisioni, mediante una scelta attiva,per controllare l'utilizzo e la condivisione di informazioni16. » dunque importante chiarire i limiti del consenso e assicurarsiche soltanto il consenso interpretato secondo la legge sia considerato tale.17

III.    Analisi delledisposizioni

La presente analisi riguarda in particolare la direttiva 95/46/CE(capitolo III.A). Nel capitolo III.B saranno esaminate alcune parti pertinentidella direttiva 2002/58/CE relativa alla vita privata e alle comunicazionielettroniche. Si fa presente che le due direttive non si escludonoreciprocamente. Le condizioni generali per poter considerare valido ilconsenso, previste dalla direttiva 95/46/CE, si applicano tanto al mondoon-line quanto a quello off-line. La direttiva 2002/58/CE specifica talicondizioni per alcuni servizi on-line esplicitamente menzionati, sempre allaluce delle condizioni generali della direttiva sulla protezione dei dati.

III.A  Direttiva 95/46/CE

La nozione di "consenso della persona interessata" è definitaall'articolo 2, lettera h), e successivamente utilizzata negli articoli 7, 8 e26. Il ruolo del consenso è altresì menzionato ai considerando 30 e 45. Talidisposizioni e tutte le informazioni dettagliate pertinenti saranno discusseseparatamente nel presente capitolo.

III.A.1. Articolo 2, lettera h)

Ai sensi dell'articolo 2, lettera h), con l'espressione ´consensodella persona interessataª si intende "qualsiasi manifestazione di volontàlibera, specifica e informata con la quale la persona interessata accetta che idati personali che la riguardano siano oggetto di un trattamento". Taledefinizione contiene alcuni diversi elementi fondamentali che saranno discussidi seguito.

"... qualsiasi ... manifestazione di volontà .. accetta ..."

In linea di principio, non esistono limiti alla forma che puòassumere il consenso. Per essere valido ai sensi della direttiva, tuttavia, ilconsenso dev'essere una manifestazione. Benché possa trattarsi di "qualsiasi"forma di manifestazione, andrebbe chiarito che cosa esattamente ricade nelladefinizione di manifestazione.

La direttiva non specifica la forma che deve assumere lamanifestazione (ossia il modo in cui è espressa la volontà). Per ragioni diflessibilità, nel testo definitivo si è evitato il riferimento al consenso "scritto".» bene ribadire che la direttiva contempla "qualsiasi" manifestazione divolontà. Ciò implica la possibilità di un'ampia interpretazione del campo diapplicazione di tale manifestazione. L'espressione minima di una manifestazionepotrebbe essere qualsiasi tipo di segnale che sia sufficientemente chiaro daindicare la volontà dell'interessato e che possa essere comprensibile per ilresponsabile del trattamento. I termini "manifestazione" e "accetta" puntanonella direzione di un'azione che è effettivamente necessaria (rispetto a unasituazione in cui il consenso potrebbe essere dedotto dall'assenza diun'azione).

Il consenso dovrebbe prevedere qualsiasi manifestazione di unavolontà con cui l'interessato accetta ossia esprime il suo assenso:potrebbe trattarsi di una firma apposta manualmente in calce a un modulocartaceo, ma anche una dichiarazione orale che esprima accettazione, o uncomportamento dal quale si possa ragionevolmente dedurre il consensodell'interessato. Oltre al classico esempio della firma, potrebbe rientrare inquesta definizione anche il fatto di lasciare a qualcuno un biglietto davisita. Lo stesso vale nel caso in cui una persona trasmetta aun'organizzazione il proprio nome e indirizzo per avere informazionisull'organizzazione stessa. In questo caso la sua azione dovrebbe essere intesacome un'accettazione al trattamento di tali dati essendo tale trattamentonecessario per poter evadere e dar corso alla richiesta stessa.

Nel suo parere sull'uso di dati relativi all'ubicazione al fine difornire servizi a valore aggiunto (WP 115), il Gruppo di lavoro ha valutato inche modo le persone dovrebbero essere messe nelle condizioni di esprimere ilproprio consenso a ricevere servizi che ne richiedano la localizzazioneautomatica (per esempio, la possibilità di telefonare ad un numero specificoper ottenere informazioni sulle condizioni metereologiche del luogo in cui cisi trova). In tal caso ha riconosciuto che, a condizione che gli utentiricevano preventivamente informazioni complete sul trattamento dei datirelativi all'ubicazione, chiamare un determinato numero equivarrebbe adacconsentire a essere localizzati.

Non è sicuro se, in circostanze estremamente specifiche (ossia inun contesto assolutamente privo di ambiguità), l'assenza di un comportamento– o meglio: un comportamento passivo – possa essere considerato unamanifestazione. La nozione di "manifestazione" è ampia, ma sembra implicare lanecessità di un'azione. Altri elementi della definizione di consenso, e ilrequisito aggiuntivo di cui all'articolo 7, lettera a), in base al quale ilconsenso dev'essere manifestato in maniera inequivocabile, suffragano questainterpretazione. L'indicazione che l'interessato deve esprimere un assensoquale forma di "accettazione" sembra suggerire che la semplice inazione siainsufficiente e che, per configurare un consenso, sia necessaria una qualcheforma di azione, benché siano possibili tipologie diverse di azioni, davalutare "nel contesto".

Nella pratica, in assenza di un comportamento attivodell'interessato, è difficile per il responsabile del trattamento stabilire seil silenzio dell'interessato significhi accettazione o consenso. Per esempio,un responsabile del trattamento potrebbe non avere la certezza necessaria perdare per scontato un consenso nei seguenti casi: si immagini una situazione incui, dopo aver inviato una lettera ai suoi clienti per informarli del previstotrasferimento dei loro dati in assenza di una loro risposta contraria entro 2settimane, il responsabile del trattamento ottenga una risposta soltanto dal10% dei suoi clienti. In questo esempio, è improbabile che il 90% dei clientiche non hanno risposto abbia effettivamente accettato che i propri dati sianotrasferiti. In un caso come questo il responsabile del trattamento non haottenuto una chiara manifestazione dell'intenzione degli interessati. Inoltre,non dispone delle prove e, pertanto, non è in grado di dimostrare di averottenuto il consenso dei clienti. In pratica, l'ambiguità di una rispostapassiva rende difficile ottemperare alle disposizioni della direttiva.

"... libera ..."

Il consenso può essere valido soltanto se l'interessato è in gradodi operare realmente una scelta, e non c'è il rischio di raggiri,intimidazioni, coercizioni o conseguenze negative significative nel caso in cuiquesta persona non manifesti il proprio consenso. Se le conseguenze delconsenso minano la libertà di scelta dell'individuo, il consenso non può essereconsiderato libero. La direttiva stessa, all'articolo 8, paragrafo 2, letteraa), prevede che in alcuni casi, che devono essere determinati dagli Statimembri, il consenso espresso dall'interessato non è sufficiente per derogare aldivieto relativo al trattamento di talune categorie specifiche di datipersonali.

Ne è un esempio il caso in cui l'interessato è sotto l'influssodel responsabile del trattamento, come nell'ambito di un rapporto di lavoro. Inquesto esempio, benché non necessariamente in tutti i casi, l'interessato puòtrovarsi in una situazione di dipendenza dal responsabile del trattamento– per la natura del rapporto o per via di circostanze particolari –e potrebbe temere di essere trattata in maniera diversa nell'eventualità in cuirifiutasse il consenso al trattamento dei dati.

In svariati pareri il Gruppo di lavoro ha esaminato i limiti delconsenso in situazioni in cui non sia possibile esprimerlo liberamente. »questo il caso, in particolare, dei pareri sulle cartelle cliniche elettroniche(WP 131), sul trattamento dei dati nel contesto dell'occupazione (WP 48) e sultrattamento dei dati da parte dell'Agenzia Mondiale Antidoping (WP 162).

Nel WP 131, il Gruppo di lavoro ha rammentato che "consenso'libero' significa una decisione volontaria, presa da una persona in pienopossesso di tutte le sue facoltà e senza alcuna forma di coercizione, sociale,finanziaria, psicologica o d'altro tipo. Un consenso dato in una situazionemedica sotto la minaccia di non essere curati o di ricevere cure peggiori nonpuò essere considerato 'libero'. (...) qualora la situazione medica imponga inmodo necessario e inevitabile all'operatore sanitario di trattare i datipersonali in un sistema di CEE [cartelle cliniche elettroniche], èfuorviante che questi cerchi di legittimare tale operazione attraverso ilconsenso dell'interessato. Il fatto di basarsi sul consenso dovrebbe esserelimitato ai casi in cui la persona interessata è veramente libera di sceglieree può in seguito ritirare tale consenso senza venire danneggiata".18

Se il trattamento dei dati continua anche dopo che il consenso èstato revocato, sulla base di un altro motivo legittimante, si potrebberosollevare dubbi circa l'uso originale del consenso come motivo di liceitàiniziale: se il trattamento avesse potuto essere avviato sin dall'inizio sullabase di quest'altro motivo di liceità, potrebbe essere considerato fuorviante ointrinsecamente sleale far intendere all'interessato che il trattamento èsubordinato al suo consenso. Diverso sarebbe se le circostanze fosserocambiate, per esempio se dovesse emergere un nuovo fondamento giuridico nel corsodel trattamento, quale una nuova normativa che disciplina la banca datiinteressata. Se questo nuovo motivo si applica validamente al trattamento deidati, il trattamento può proseguire. Nella pratica, tuttavia, tali circostanzenon sono frequenti. In linea di principio, il consenso può essere consideratoincompleto laddove non sia contemplata la possibilità di un'effettiva revoca.

Il Gruppo di lavoro ha adottato una posizione coerentesull'interpretazione di libero consenso nel contesto dell'occupazione19, sostenendo che se al lavoratore è richiesto un

consenso e qualora il rifiuto a rilasciare il consenso comporti unpregiudizio reale o potenziale per il lavoratore, tale consenso non è valido intermini di conformità all'articolo 7 o all'articolo 8, poiché non si tratta diuna manifestazione di volontà libera. Se per il lavoratore non è possibilerifiutare il proprio consenso, non si può parlare di consenso. (...) Un ambitoostico è quello in cui il rilascio del consenso rappresenta un requisito per l'assunzione.In teoria, il lavoratore può rifiutare il consenso; e tuttavia, la conseguenzadel suo rifiuto potrebbe essere la perdita dell'opportunità di lavoro. In talicircostanze il consenso non è una manifestazione di volontà libera e, pertanto,non è valido. La situazione risulta ancora più eloquente quando, come spessoaccade, tutti i datori di lavoro impongono la medesima condizione o unacondizione analoga per l'assunzione.

Il contesto dell'occupazione richiede una discussione specifica. Inquesto caso, infatti, entrano in gioco gli aspetti culturali e sociali delrapporto di lavoro, così come il modo in cui i principi della protezione deidati interagiscono con altre leggi. Nel contesto dell'occupazione, i datipersonali possono essere trattati per scopi diversi:

o dati necessari perché ildipendente possa svolgere le proprie mansioni: applicazione dell'articolo 7,lettera b) – necessità per l'esecuzione del contratto;

o per determinare il diritto deidipendenti ad acquisire stock option: ciò potrebbe avvenire sia in base a unconsenso - articolo 7, lettera a), o essere considerato un aspetto intrinsecoagli aspetti amministrativi del contratto di lavoro - articolo 7, lettera b);

o trattamento del numero di sicurezza sociale a scopi di sicurezzasociale: articolo 7, lettera c) – obbligo giuridico, o anche articolo 8,lettera b) – obblighi in materia di diritto del lavoro;

o trattamento di dati di carattere etnico: in alcuni paesi, questopotrebbe essere un obbligo in materia di diritto di lavoro - articolo 8,lettera b), mentre in altri sarebbe rigorosamente vietato.

Benché, in contesti di questo genere, possa sussistere il fortesospetto che il consenso fornito sia debole, di per sé ciò non basta aescludere del tutto il ricorso al consenso, purché vi siano garanziesufficienti che si tratti veramente di una manifestazione di volontà libera.

Se una situazione di subordinazione rappresenta sovente ilprincipale motivo che impedisce al consenso di essere libero, esistono anchealtre circostanze che possono influenzare la decisione dell'interessato. Taliaspetti possono essere, per esempio, correlati alla dimensione economica, o auna dimensione emotiva o pratica. Anche il fatto che la raccolta di dati siaespletata da un'autorità pubblica può influenzare in qualche modol'interessato. Può tuttavia essere difficile distinguere tra un sempliceincentivo e qualcosa che può realmente influenzare la libertà dell'interessatonell'operare una scelta. Gli esempi che seguono intendono illustrare la diversanatura degli sforzi o dei costi per gli interessati che potrebbero influenzarnela decisione.

Anche la natura del responsabile del trattamento può esseredecisiva in relazione alla scelta del criterio che legittima il trattamento deidati personali. » questo il caso, in particolare, dei responsabili deltrattamento del settore pubblico, dove il trattamento dei dati è solitamentecollegato all'adempimento di un obbligo giuridico come specificato all'articolo7, lettera c), o all'esecuzione di un compito di interesse pubblico, secondo ildisposto dell'articolo 7, lettera e). Di conseguenza, il ricorso al consensodell'interessato per legittimare il trattamento dei dati non rappresenta ilfondamento giuridico appropriato. Ciò è particolarmente evidente nel caso deltrattamento dei dati personali da parte delle autorità pubbliche dotate dipotestà d'imperio, tra cui le autorità che agiscono nell'ambito delle propriefunzioni nel corso di attività di polizia e giudiziarie. Le autorità di polizianon possono avvalersi del consenso dell'interessato per mettere in atto misureche non sono previste, o che non sarebbero altrimenti consentite, dalla legge.

Si deve riconoscere tuttavia che, benché gli Stati possano esseregiuridicamente obbligati al trattamento dei dati personali, non semprel'interessato è tenuto a collaborare. Si può ipotizzare il caso in cui "servizia valore aggiunto" sono offerti agli interessati, che possono decidere diutilizzarli o meno. Nella maggior parte dei casi, però, il trattamento èeffettivamente obbligatorio. Spesso non è così semplice stabilire se iltrattamento dei dati personali da parte delle autorità pubbliche poggia,legittimamente, sul consenso del soggetto interessato. Il trattamento di dati personalinel settore pubblico, pertanto, comporta sovente dei sistemi ibridi, chepossono dare adito a incertezze e abusi, se erroneamente giustificati dalconsenso.

Se il consenso può, in casi eccezionali, rappresentare un motivovalido addotto dagli Stati per legittimare il trattamento dei dati, sarebbeopportuno effettuare, caso per caso, un'attenta verifica atta a stabilire se ilconsenso sia effettivamente una manifestazione di volontà sufficientementelibera. Come dimostrano gli esempi seguenti, quando il responsabile deltrattamento è un'autorità pubblica, il fondamento giuridico che legittima iltrattamento non è il consenso bensì la conformità all'obbligo giuridico di cuiall'articolo 7, lettera c), o l'esecuzione di un compito di interesse pubblicoai sensi dell'articolo 7, lettera e).

"... specifica ..."

Per essere valido, il consenso dev'essere specifico. In altritermini, un consenso totale, senza che sia specificato lo scopo preciso deltrattamento, non è accettabile.

Per essere specifico, il consenso dev'essere comprensibile:dovrebbe cioè riferirsi chiaramente e precisamente al campo di applicazione ealle conseguenze del trattamento dei dati. Non può riferirsi a un insiemeillimitato di attività di trattamento. Ciò significa, in altre parole, che ilcontesto al quale si applica il consenso è limitato.

Il consenso dev'essere accordato in relazione ai diversi aspettidel trattamento, chiaramente identificati. » necessario, in particolare, chesiano specificati il tipo di dati oggetto di trattamento e le finalità deltrattamento. Questa interpretazione dovrebbe essere fondata sulle aspettativeragionevoli delle parti. La nozione di "consenso specifico" è pertantointrinsecamente correlata al fatto che il consenso deve essere informato.Sussiste un obbligo di articolazione del consenso per quanto concerne i varielementi che costituiscono il trattamento dei dati: non si può pensare cioè cheil consenso si riferisca a "tutti gli scopi legittimi" perseguiti dalresponsabile del trattamento. Il consenso si dovrebbe riferire alle forme ditrattamento che risultano ragionevoli e necessarie rispetto allo scopo.

In linea di principio, per i responsabili del trattamento dovrebbeessere sufficiente ottenere il consenso una volta sola, per operazioni diverse,se queste rientrano nelle aspettative ragionevoli dell'interessato.

Recentemente la Corte di giustizia dell'Unione europea si èpronunciata in via pregiudiziale22 in meritoall'articolo 12, paragrafo 2, della direttiva relativa alla vita

privata e alle comunicazioni elettroniche, sulla necessità diottenere nuovamente il consenso degli abbonati che abbiano già acconsentitoalla pubblicazione dei propri dati personali in un elenco al trasferimento ditali dati personali ai fini della pubblicazione da parte di altri servizi diconsultazione. La Corte ha stabilito che, quando un abbonato sia stato correttamenteinformato della possibilità della trasmissione dei dati personali che loriguardano a un'impresa terza, e questi abbia acconsentito alla pubblicazionedi tali dati in un simile elenco, la trasmissione degli stessi dati non deveessere nuovamente oggetto di un consenso da parte dell'abbonato, "qualoravenga garantito che i dati in questione non saranno usati per scopi diversi daquelli per cui sono stati raccolti al fine della loro prima pubblicazione" (punto65).

Può essere tuttavia necessario ottenere un distinto consenso se ilresponsabile del trattamento intende trattare i dati per finalità diverse. Peresempio, l'interessato potrebbe acconsentire sia all'invio di informazioni sunuovi prodotti sia all'utilizzo dei suoi dati per specifiche azioni dipromozione, poiché questa situazione potrebbe essere fatta rientrare nelleragionevoli aspettative dell'interessato. Al contrario, si dovrebbe richiedereun consenso distinto e supplementare per essere autorizzati a trasmettere idati dell'interessato a terzi. La necessità di ottenere un consenso articolatodovrebbe essere valutata caso per caso, a seconda degli scopi o dei destinataridei dati.

Si rammenta che il trattamento potrebbe avere molti e diversifondamenti giuridici: alcuni dati potrebbero essere sottoposti a trattamentoperché necessari nell'ambito di un contratto concluso con l'interessato, peresempio per dare esecuzione a un ordine o per gestire il servizio diassistenza, mentre un consenso specifico potrebbe essere richiesto ai fini del trattamentoper scopi che trascendono l'esecuzione del contratto, per esempio per valutareil grado di affidabilità creditizia (credit scouring) dell'interessato.

Il Gruppo di lavoro ha chiarito questo aspetto del consenso nel WP131 sulle cartelle cliniche elettroniche (CCE): "il consenso 'specifico'deve riferirsi a una situazione ben definita e concreta in cui si prevede untrattamento dei dati medici. Pertanto un 'consenso generale'dell'interessato – ad esempio alla raccolta dei suoi dati medici per unaCCE e ai trasferimenti successivi di tali dati, passati e futuri, a operatorisanitari coinvolti nella cura – non costituisce un consenso conformementeall'articolo 2, lettera h) della direttiva".

Lo stesso ragionamento è espresso nel parere WP 115 sull'uso didati relativi all'ubicazione al fine di fornire servizi a valore aggiunto: "[La]definizione esclude esplicitamente che il consenso possa essere prestato nelquadro dell'accettazione delle condizioni generali del servizio dicomunicazioni elettroniche offerto. (...), a seconda del tipo di servizioofferto, il consenso può riguardare un'operazione specifica o può costituireun'accettazione del fatto di essere localizzati su base continuativa".

Nella decisione della Corte menzionata al capitolo II, "Ruolo delconsenso", anche se il termine "specifico" non viene esplicitamente usato, lamotivazione insiste anche sulla necessità che il consenso sia specificosostenendo che "non è sufficiente che il contratto di lavorodell'interessato faccia riferimento a un contratto collettivo che consente talesuperamento".

"... informata ..."

L'ultimo elemento della definizione di consenso – ma nonl'ultimo requisito, come si avrà modo di osservare più avanti – riguardala natura della manifestazione della volontà, che deve essere informata.

Gli articoli 10 e 11 della direttiva fissano l'obbligo diinformazione nei confronti degli interessati. L'obbligo di informazione èpertanto distinto e, tuttavia, in molti casi è palesemente correlato alconsenso. Se il consenso non sempre è concesso in seguito alla trasmissione diinformazioni (è possibile infatti invocare un altro motivo legittimante deltrattamento ai sensi dell'articolo 7), perché possa esserci consenso è semprenecessario provvedere a informare l'interessato.

Per dirla altrimenti, il consenso deve essere informato ossia "basatosulla valutazione e comprensione dei fatti e sulle conseguenze di unadeterminata azione. L'interessato deve ricevere, in modo chiaro ecomprensibile, informazioni precise e complete su tutti gli aspetti rilevanti,in particolare quelli specificati agli articoli 10 e 11 della direttiva, come isuoi diritti, la natura dei dati trattati, le finalità del trattamento, idestinatari di eventuali trasferimenti. Questo implica anche la consapevolezzadelle conseguenze del mancato assenso al trattamento in questione"23.

In molti casi il consenso è ottenuto al momento della raccolta deidati personali, ossia quando ha inizio il trattamento. In tal caso, leinformazioni da fornire coincidono con quelle elencate all'articolo 10 delladirettiva. Il consenso tuttavia può anche essere richiesto "a valle", quandocioè si hanno variazioni nelle finalità del trattamento. In tal caso leinformazioni da fornire dovranno limitarsi a quanto necessario nel contestospecifico, in relazione alla finalità del trattamento.

Il consenso informato è particolarmente decisivo nell'ambito deitrasferimenti di dati personali a paesi terzi, dove l'obbligo di informazione "prescriveche l'interessato sia informato adeguatamente sul rischio specifico che i suoidati vengano trasferiti in un paese che non garantisce una tutela adeguata"24.

Per garantire un'informazione adeguata si possono individuare duetipi di obblighi:

Ä Qualità dell'informazione – Il modo in cui è fornital'informazione (mediante un linguaggio chiaro, privo di espressioni gergali,comprensibile, manifesto) è fondamentale per stabilire se il consenso è"informato". Il modo in cui le informazioni devono essere fornite dipende dalcontesto: dovrebbero cioè essere comprensibili a un utente regolare/medio.

Ä Accessibilità e visibilità delleinformazioni – le informazioni devono essere fornite direttamente agliindividui interessati. Non è sufficiente che le informazioni siano"disponibili" da qualche parte. Su questo punto ha insistito la Corte digiustizia nella sua sentenza del 200425, riferendosia un contratto di lavoro che non precisava le condizioni di lavoro ma rinviavaad altri documenti. Le informazioni devono essere chiaramente visibili (tipo edimensioni dei caratteri), rilevanti ed esaustive. Possono essere utilizzatefinestre di dialogo per fornire informazioni specifiche al momento dellarichiesta del consenso. Come si è detto riguardo al "consenso specifico", glistrumenti di informazione on-line sono particolarmente utili per i servizi disocial network, perché garantiscono sufficienti granularità e chiarezza per lesituazioni concernenti la vita privata. Anche gli avvisi a più livelli possonoessere un utile strumento a questo proposito, poiché contribuiscono a fornirele giuste informazioni in maniera facilmente accessibile.

Con il passare del tempo possono sorgere dubbi sulla validità delconsenso originariamente rilasciato sulla base di informazioni valide esufficienti. Per una serie di motivi, la gente spesso cambia idea, vuoi perchéle scelte iniziali sono state avventate, vuoi perché le circostanze sonocambiate, come nel caso di un adolescente che, crescendo, è maturato 26 . Ecco perché i responsabili del trattamento, di prassi,dovrebbero sforzarsi di rivedere periodicamente le scelte di un individuo, peresempio mettendoli al corrente della loro scelta attualmente valida e offrendoloro la possibilità di confermare il consenso o di revocarlo27. L'intervallo di tempo in questione dipende ovviamente dalcontesto e dalle circostanze del caso.

Più complesso è il trattamento dei dati, maggiori sono gli obblighiche dovrebbero ricadere sul responsabile del trattamento. Maggiore è ladifficoltà che un cittadino medio può incontrare nel controllare e nelcomprendere tutti gli elementi del trattamento dei dati, più impegnatividovrebbero essere gli sforzi compiuti dal responsabile del trattamento perdimostrare che il consenso è ottenuto sulla base di informazioni specifiche ecomprensibili.

Il consenso quale definito all'articolo 2, lettera h), dovrebbeessere letto in combinazione con gli altri obblighi successivamente menzionatinel testo della direttiva. L'articolo 7 aggiunge il termine "inequivocabile"agli elementi della definizione, mentre l'articolo 8 introduce il termine"esplicito" nel caso di trattamenti riguardanti categorie particolari di dati.

III.A.2. Articolo 7, lettera a)

Ai sensi dell'articolo 7, lettera a), della direttiva, il consensoinequivocabile manifestato dall'interessato costituisce il fondamento giuridicoper il trattamento dei dati personali. Pertanto, per essere valido, oltre ai criteristabiliti all'articolo 2, lettera h), il consenso deve anche essere inequivocabile.

Perché il consenso sia inequivocabile, la procedura seguita perchiedere e ottenere il consenso non deve lasciare adito a dubbi inmerito all'intenzione dell'interessato di manifestare il suo consenso. In altreparole, la manifestazione con la quale l'interessato accetta il trattamento deisuoi dati personali non deve lasciare spazio ad ambiguità per quanto concernela sua intenzione. Se sussiste un ragionevole dubbio circa l'intenzionedell'interessato, l'ambiguità non può essere esclusa.

Come si avrà modo di precisare di seguito, tale criterio impone alresponsabile del trattamento l'obbligo di definire procedure solide perottenere il consenso dell'interessato, l'obbligo cioè di ottenere un consensochiaro e manifesto o di fare affidamento su talune tipologie di procedure chepermettono di inferire chiaramente la manifestazione di volontàdell'interessato. Il responsabile del trattamento deve essere anche sufficientementecerto che la persona che manifesta il consenso sia effettivamente l'interessato.Ciò vale in particolare nel caso in cui il consenso è fornito telefonicamenteoppure on-line.

Un problema correlato è quello della prova del consenso. Ilresponsabile del trattamento che decide di ricorrere al consenso può desiderareo può avere la necessità di dimostrare di avere effettivamente ottenuto ilconsenso, per esempio nell'ambito di una controversia con l'interessato. Inalcuni casi, infatti, può essere richiesto al responsabile del trattamento difornire le prove della manifestazione del consenso nell'ambito di azionigiudiziarie. Di conseguenza, anche a titolo di buona prassi, il responsabiledel trattamento dovrebbe creare e conservare le prove della manifestazione delconsenso da parte dell'interessato; il consenso, cioè, deve essereverificabile.

Di seguito saranno analizzati alcuni metodi per manifestare ilconsenso, valutando se sono atti a fornire un consenso inequivocabile.

Le dichiarazioni esplicite usate per manifestare il consenso, comela firma di un contratto o una dichiarazione scritta che riporti l'intenzionedi esprimere l'assenso, sono procedure o meccanismi adatti per fugare ogniambiguità circa la manifestazione del consenso. Al tempo stesso, in linea diprincipio, forniscono al responsabile del trattamento la provadell'autorizzazione al trattamento.

Tuttavia, non tutte le forme di un consenso apparentementeesplicito forniscono un effettivo consenso dell'interessato. La questione èstata discussa in una causa portata di recente davanti alla Corte di giustizia(Volker und Markus Schecke contro Land Hessen), che riguardava la pubblicazionedei beneficiari di stanziamenti di alcuni fondi dell'UE28edegli importi percepiti da ogni beneficiario. L'avvocato generale ha esaminatoil caso per capire se erano state soddisfatte le condizioni riguardanti lamanifestazione del consenso in maniera inequivocabile, laddove era statochiesto agli interessati di sottoscrivere una dichiarazione di questo tenore:"Sono a conoscenza del fatto che ai sensi dell'art. 44 bis delregolamento (...) n. 1290/2005 è disposta la pubblicazione di informazioni suibeneficiari [di stanziamenti] del FEAGA e del FEASR nonché degli importirecepiti da ogni beneficiario." L'avvocato generale è giunto alla seguenteconclusione: "La presa d'atto di un preavviso secondo cui avrà luogo unqualche tipo di pubblicazione non equivale a manifestare 'senza ambiguità' ilproprio consenso a un certo tipo di pubblicazione particolareggiata. Né puòessere propriamente descritta come una 'manifestazione libera e specifica'della volontà dei richiedenti secondo la definizione del consenso della personainteressata di cui all'art. 2, lettera h)". L'avvocato generale ha pertantoritenuto che i ricorrenti non avessero manifestato il proprio consenso altrattamento (vale a dire, alla pubblicazione) dei loro dai personali ai sensidell'articolo 7, lettera a), della direttiva 95/46/CE.29

Il consenso esplicito può anche essere manifestato nell'ambienteon-line. Proprio come avviene off-line, esistono mezzi perfettamente adatti amanifestare il consenso in maniera inequivocabile, come bene illustra ilseguente esempio.

.

Il consenso esplicito può inoltre essere fornito verbalmente,mediante dichiarazioni volte a manifestare l'assenso. Il consenso esplicitofornito verbalmente potrebbe essere manifestato in una situazione analoga allaseguente.

In alcune circostanze il consenso inequivocabile potrebbe essere dedottoda talune azioni, come nel caso, in particolare, di azioni da cui si puòconcludere senza tema di errore che il consenso è stato concesso. Ciò tuttaviaè correlato all'effettiva trasmissione di informazioni pertinenti sultrattamento dei dati, che permettano all'interessato di prendere una decisioneal riguardo (in relazione all'identità del responsabile del trattamento, allefinalità del trattamento, ecc.).

Come si è detto, i medesimi requisiti, anche in materia dimanifestazione del consenso in maniera inequivocabile, si applicano tantooff-line quanto on-line. Nonostante ciò, il Gruppo di lavoro osserva che ilrischio che un consenso possa essere considerato ambiguo è maggiore in unambiente on-line, e questo aspetto merita perciò un'attenzione specifica. Ilprossimo esempio illustra un caso in cui il consenso dedotto da un determinatocomportamento (partecipazione a un gioco on-line) non soddisfa i requisiti perun valido consenso.

L'esempio precedente illustra un caso in cui l'interessato rimanepassivo (per esempio, mancata azione o "silenzio"). Un consenso inequivocabilemal si concilia con procedure per l'ottenimento del consenso basatesull'inazione o sul silenzio degli interessati: il silenzio o l'inazione di unaparte è caratterizzato da un'ambiguità intrinseca (l'interessato cioè potrebbeaver avuto l'intenzione di manifestare il suo consenso o semplicemente potrebbeessere stato intenzionato a non eseguire l'azione). L'esempio seguente spiegapiù chiaramente questo concetto.

Sussiste ambiguità nella circostanza in cui si ritiene che unapersona abbia manifestato il proprio consenso per il fatto di non aver rispostoa una lettera con cui veniva informata che un mancato riscontro equivaleva aun'espressione di assenso. In questo genere di circostanza, il comportamentoindividuale (o piuttosto la mancata azione) solleva forti dubbi sull'intenzionedel soggetto di manifestare il proprio assenso. Il fatto che il soggetto inquestione non abbia compiuto alcuna azione attiva non è sufficiente perconcludere che l'assenso sia stato accordato. Pertanto, questa forma diconsenso non soddisfa i requisiti della manifestazione inequivocabile delconsenso. Oltretutto, come si avrà modo di dimostrare di seguito, sarà ancheestremamente difficile per il responsabile del trattamento fornire le prove aconferma della manifestazione di assenso dell'interessato.

Il Gruppo di lavoro ha già ribadito l'inadeguatezza di un consensofondato sul silenzio degli interessati nel contesto dell'invio di comunicazionitramite posta elettronica a fini di commercializzazione diretta: "Ilconsenso implicito a ricevere tali messaggi non è compatibile con ladefinizione di consenso stabilita dalla direttiva 95/46/CE (...). Analogamente,neppure le caselle preselezionate, ad esempio nei siti web, sono compatibilicon la definizione della direttiva"30. Il seguenteesempio conferma tale posizione:

Da quanto precede deriva che, alla luce dell'obbligo concernentela manifestazione di un consenso inequivocabile, i responsabili deltrattamento sono incoraggiati di fatto a mettere a punto procedure e meccanismiche non lascino dubbi circa la manifestazione del consenso, vuoi sulla base diun'azione esplicita dell'interessato, vuoi deducendolo chiaramente da uncomportamento dell'interessato.

Come si è detto in precedenza, per buona pratica i responsabilidel trattamento dovrebbero considerare l'opportunità di mettere in opera misuree procedure pertinenti per dimostrare che il consenso è stato rilasciato. Più ècomplicato l'ambiente in cui operano, maggiori saranno le misure che sarànecessario attuare per garantire che il consenso sia verificabile. Surichiesta, tali informazioni dovrebbero essere messe a disposizionedell'autorità per la protezione dei dati.

III.A.3. Articolo 8, paragrafo 2,lettera a)

L'articolo 8 della direttiva conferisce una protezione speciale a"categorie particolari di dati" che per loro natura sono consideratiestremamente sensibili. Il trattamento di tali dati è vietato a meno che non siapplichi almeno una delle deroghe elencate. L'articolo 8, paragrafo 2, letteraa), stabilisce che il divieto non si applica se l'interessato ha dato ilproprio consenso esplicito al trattamento.

Nel linguaggio giuridico, l'espressione "consenso esplicito" (explicit)equivale all'espressione "consenso manifesto" (express). Essa cioècomprende tutte le situazioni in cui agli interessati è proposto di accettare orifiutare un particolare utilizzo oppure l'oscuramento di informazionipersonali che li riguardano ed essi rispondono attivamente a tale proposta,verbalmente o per iscritto. Generalmente, il consenso esplicito o manifesto èconcesso per iscritto ed è accompagnato da una firma scritta a mano. Peresempio, il consenso esplicito è dato quando gli interessati firmano un moduloper il consenso che specifica chiaramente le ragioni per cui un responsabiledel trattamento desidera raccogliere e trattare i loro dati personali.

Sebbene tradizionalmente il consenso esplicito sia manifestato informa scritta, su carta o in formato elettronico, come si è avuto modo diprecisare nel precedente capitolo III.A.2, la forma scritta non è indispensabilee, pertanto, il consenso può essere manifestato anche verbalmente. Ciò èconfermato dal fatto che la prescrizione relativa al consenso in forma scrittaoriginariamente prevista dall'articolo 8 è stata successivamente soppressa neltesto definitivo della direttiva. Vero è, però, come si è avuto modo dispiegare nel medesimo capitolo, che potrebbe essere difficile dimostrare aposteriori di aver effettivamente ottenuto un consenso verbale, per cui nellapratica si suggerisce ai responsabili del trattamento di ricorrere al consensoscritto a scopo probatorio.

L'obbligo di ottenere un consenso esplicito significa che ilconsenso dedotto dalle circostanze non soddisfa normalmente il dispostodell'articolo 8, paragrafo 2. A tale proposito, vale la pena rammentare ilparere del Gruppo di lavoro "Articolo 29" sulle cartelle clinicheelettroniche31, laddove esso recita che "Diversamenteda quanto disposto dall'articolo 7 della direttiva, nel caso di dati personalisensibili, e quindi delle CCE, il consenso deve essere esplicito. Non soddisfa il criterio del carattere 'esplicito' lasoluzione del silenzio-assenso (opt-out)."

Come si è detto al capitolo II.A.2, gli interessati possono dareun consenso esplicito, verbalmente e anche per iscritto, intraprendendoun'azione positiva per manifestare la propria volontà di accettare una certaforma di trattamento dei dati. Nell'ambiente on- line il consenso esplicito puòessere manifestato con la firma elettronica o digitale. Può anche tuttaviaessere dato cliccando un tasto a seconda del contesto, per esempio per inviaremessaggi di conferma o cliccando su un'icona, ecc.32 L'approvazione di procedure che implicano un'azionedeliberata da parte dell'interessato è implicitamente riconosciuta dalconsiderando 17 della direttiva relativa alla vita privata e alle comunicazionielettroniche, in base al quale "Il consenso può essere fornito secondoqualsiasi modalità appropriata che consenta all'utente di esprimere liberamentee in conoscenza di causa i suoi desideri specifici, compresa la selezione diun'apposita casella nel caso di un sito Internet".

Per essere valido il consenso non deve necessariamente essereregistrabile. » tuttavia nell'interesse del responsabile del trattamentoconservare delle prove. Ovviamente, la robustezza delle prove fornite da unmeccanismo specifico varia a seconda del volume di prove disponibili a confermadel rilascio del consenso. Il consenso che è stato ottenuto, per esempio,chiedendo a un interessato, la cui identità sia dimostrata soltanto da unindirizzo di posta elettronica, di cliccare un tasto avrà un valore probatoriodi gran lunga inferiore rispetto a una procedura corroborata, invece, dameccanismi di ottenimento del consenso registrabili33. Il bisogno di disporre di prove indiscutibili

dell'avvenuto consenso dipenderà anche dal tipo di dati raccolti edalle finalità perseguite: la firma elettronica non è necessaria permanifestare il consenso a ricevere offerte commerciali, ma potrebbe esserlo peraccettare il trattamento on-line di talune tipologie di dati finanziari. Dovràessere possibile registrare il consenso esplicito dato in

un ambiente on-line, in modo da potervi accedere per unriferimento futuro.34

Alla luce di quanto precede, si ritiene che i moduli diregistrazione on-line da compilare con informazioni personali necessarieall'identificazione e al fine di manifestare il consenso al trattamento deidati soddisfino il requisito riguardante il consenso esplicito, a condizioneche siano rispettati tutti gli altri requisiti. Per esempio, per aprire unfascicolo medico on-line personalizzato, i pazienti possono dare il proprio consensofornendo il proprio recapito e cliccando su un'apposita casella in segno diaccettazione del trattamento dei dati. Ovviamente il ricorso a metodi diautenticazione più rigorosi, come l'uso della firma digitale, permetterà diottenere il medesimo risultato e costituirà una prova più solida35.

In alcuni casi gli Stati membri possono stabilire che unadeterminata operazione di trattamento dei dati possa essere legittimata in baseal consenso e, in tal caso, specificano il tipo di consenso necessario. Peresempio, gli Stati membri possono decidere che un cittadino, per poterrichiedere una tessera sanitaria che permette di accedere anche alla storiamedica, deve fornire, all'atto dell'iscrizione on-line, una determinata firmadigitale. Questa opzione dà la garanzia che il consenso è manifesto e, al tempostesso, offre al responsabile del trattamento una maggiore certezza in meritoalla sua capacità di dimostrare in futuro di aver ottenuto il consensodell'interessato.

III.A.4. Articolo 26, paragrafo 1

L'articolo 26, paragrafo 1, lettera a), introduce il consensoinequivocabile tra le deroghe al divieto di trasferimento di dati a paesi terziche non garantiscono un livello di protezione adeguato. Le riflessioniformulate in precedenza in merito all'articolo 7, lettera a), valgono anche inquesta circostanza, nel senso che, oltre alle condizioni necessarie per ilconsenso valido a norma dell'articolo 2, lettera g), il consenso deve ancheessere manifestato in maniera inequivocabile.

Il Gruppo di lavoro "Articolo 29" si è espresso piùvolte fornendo indicazioni sull'applicazione dell'articolo 25 e dell'articolo26 della direttiva, ivi compresa la deroga del consenso. A tale proposito valela pena menzionare il documento del gruppo di lavoro WP1236, che precisa il significato di consenso inequivocabile: "Poichéil consenso dev'essere inequivocabile, anche il dubbio sul fatto cheesso sia stato dato rende la deroga inapplicabile. Ciò potrebbe significare chemolte situazioni in cui il consenso è implicito (ad esempio perché un individuoè stato informato su un trasferimento e non si è opposto) non giustificanoquesta deroga".

Ne consegue che è più probabile ottenere il consensoinequivocabile quando l'interessato compie un'azione positiva per accettare iltrasferimento, per esempio firmando un modulo per il consenso o adottando altricomportamenti che inequivocabilmente supportano la conclusione che l'assenso èstato manifestato.

Nel documento WP 11437, in relazioneall'uso del consenso per il trasferimento di dati,

il Gruppo di lavoro ha dichiarato di ritenere che "(...) ilconsenso non possa fornire un quadro adeguato a lungo termine per iresponsabili del trattamento in caso di trasferimenti ripetuti o anchestrutturali per il trattamento in questione. Infatti, specialmente se iltrasferimento è parte intrinseca del trattamento principale (ad es. lacentralizzazione di una banca dati di risorse umane a livello mondiale, che,per essere operativa, deve essere alimentata da trasferimenti di dati continuie sistematici), i responsabili del trattamento potrebbero trovarsi insituazioni irrisolvibili se solo una delle persone interessate decidesse diritirare il proprio consenso. A rigor di termini, i dati relativi a una personache abbia revocato il consenso non potrebbero più essere trasferiti; inmancanza di ciò, il trasferimento continuerebbe ad essere parzialmente basatosul consenso delle persone interessate, ma dovrebbe essere trovata unasoluzione alternativa (contratto, NVI, ecc.) per i dati delle persone che hannorevocato il consenso. Il ricorso al consenso può pertanto rivelarsi una 'falsabuona soluzione', a prima vista semplice ma in realtà complessa e onerosa."

III.A.5. Consenso fornito da soggettiprivi della piena capacità di agire

La direttiva 95/46/CE non contiene disposizioni specifiche sullamanifestazione del consenso da parte di persone prive della capacità di agire,tra cui i minori. » importante che questo aspetto sia considerato nel contestodella revisione della direttiva in materia di protezione dei dati. Oltre alleproblematiche sollevate fin qui, il consenso di queste persone presenta sueproprie complessità specifiche.

Per quanto concerne i minori, le condizioni per il rilascio di unconsenso valido variano da Stato membro a Stato membro. In più occasioni ilGruppo di lavoro "Articolo 29" ha avuto modo di riflettere sullaquestione del consenso dei minori e ha preso in esame le prassi in vigore alivello nazionale38.

Dai precedenti lavori emerge che, per richiedere il consenso di unminore, la legge può prevedere che si ottenga il consenso del minore e del suorappresentante, oppure il solo consenso del minore se questi è già maturo. Leetà a cui si applica l'uno o l'altro caso sono diverse. Non esistono procedurearmonizzate per verificare l'età di un minore.

L'assenza di norme generali in tal senso è la causa dellaframmentarietà dell'approccio in uso ed esclude la necessità di una protezionespecifica per il minore in circostanze particolari, sia per la suavulnerabilità sia per le incertezze giuridiche che ne scaturiscono, inparticolare in merito alle modalità con cui il consenso del minore vieneottenuto.

Il Gruppo di lavoro è del parere che tale mancanza diarmonizzazione abbia conseguenze in termini di certezza del diritto. Ladecisione di armonizzare le condizioni necessarie per consentire a soggettiprivi della capacità di agire di esercitare i propri diritti a livello di UE,soprattutto per quanto concerne la soglia di età, offrirebbe senz'altro nuovegaranzie. Tuttavia, il Gruppo di lavoro è consapevole che questa decisionepotrebbe travalicare l'ambito di applicazione della protezione dei dati, poichériguarda, più in generale, questioni di diritto civile. Il Gruppo di lavororichiama l'attenzione della Commissione sulle sfide sollevate in questo ambito.

Inoltre, il Gruppo di lavoro "Articolo 29" ritiene chegli interessi dei minori e di altri soggetti privi della capacità di agiresarebbero meglio tutelati se la direttiva contenesse ulteriori disposizioni,concernenti in particolare la raccolta e il trattamento supplementare dei datiche riguardano tali soggetti. Tali disposizioni potrebbero contemplare lecircostanze in cui è richiesto il consenso del rappresentante, unitamente o insostituzione del consenso del soggetto privo della capacità di agire, epotrebbero prevedere casi in cui non dovrebbe essere possibile utilizzare ilconsenso come fondamento per legittimare il trattamento dei dati personali.Dovrebbero inoltre formulare l'obbligo di utilizzare meccanismi on-line per laverifica dell'età. Esistono al riguardo meccanismi diversi e diverse soglie dietà. Per esempio, la verifica dell'età, anziché essere soggetta a un'unicanorma, potrebbe essere fondata su un approccio basato su una scala progressiva,per cui il meccanismo da utilizzare dipenderebbe dalle circostanze, per esempioil tipo di trattamento (le sue finalità), il suo grado di pericolosità, il tipodi dati raccolti, gli utilizzi fatti di questi dati (se i dati sono destinati aessere divulgati), ecc.

III.B. Direttiva 2002/58/CE

La direttiva relativa alla vita privata e alle comunicazionielettroniche (direttiva 2002/58/CE)39 è una lexspecialis rispetto alla direttiva 95/46/CE, nel senso che stabilisce unregime giuridico per un settore specifico, vale a dire la vita privata e lecomunicazioni elettroniche. La maggior parte delle sue disposizioni siapplicano esclusivamente a fornitori di servizi di comunicazione elettronicaaccessibili al pubblico (per esempio, fornitori di servizi di telefonia,fornitori di servizi Internet, ecc.).

Alcune disposizioni della direttiva 2002/58/CE menzionano ilconsenso come fondamento giuridico su cui i fornitori di servizi dicomunicazione elettronica accessibili

al pubblico possono fare affidamento ai fini del trattamento deidati40. » questo il caso, per esempio,dell'uso di dati relativi al traffico o all'ubicazione.

Il Gruppo di lavoro "Articolo 29" ritiene utileformulare osservazioni su taluni aspetti particolarmente interessanti correlatiall'uso del consenso ai sensi della direttiva 2002/58/CE. In particolare,saranno considerati i seguenti cinque aspetti:

a) il rapporto tra la definizione e il significato generale diconsenso tra la direttiva 95/46/CE e la direttiva 2002/58/CE. Taleanalisi è effettuata sulla base dell'articolo 2, paragrafo 2, lettera f), diquest'ultima direttiva.

b) La questione se, per violare la segretezza delle comunicazioni(per esempio, al fine di controllare o intercettare una comunicazionetelefonica), sia necessario ottenere il consenso di una o entrambe le parti chepartecipano alla comunicazione. Tale situazione è disciplinata dall'articolo 6,paragrafo 3, e dall'articolo 5, paragrafo 1.

c) La questione relativa al momento in cui deve essere ottenuto ilconsenso. Si tratta di un aspetto disciplinato da varie disposizioni delladirettiva 2002/58/CE, tra cui in particolare l'articolo 5, paragrafo 3, e gliarticoli 6 e 13.

d) L'ambito di applicazione del diritto a opporsi al trattamentodei dati e la distinzione tra tale diritto e consenso. Tale distinzione puòessere analizzata ai sensi dell'articolo 13 della direttiva 2002/58/CE.

e) La possibilità di revocare il consenso esplicitamente previstadall'articolo 6, paragrafo 3, e dall'articolo 9, paragrafi 3 e 4, delladirettiva 2002/58/CE.

III.B.1. Articolo 2, lettera f) -Definizione di consenso in relazione alla direttiva 95/46/CE

"consenso dell'utente o dell'abbonato"

L'articolo 2 della direttiva 2002/58/CE stabilisce esplicitamenteche le definizioni della direttiva 95/46/CE si applicano anche alla presentedirettiva. L'articolo 2, lettera f), così recita "'consenso' dell'utente odell'abbonato: corrisponde al consenso della persona interessata di cui alladirettiva 95/46/CE".

Ciò significa che, laddove si ha necessità di ottenere un consensoai sensi della direttiva 2002/58/CE, i criteri per stabilire se il consenso èvalido sono gli stessi previsti dalla direttiva 95/46/CE, ossia la definizionedi cui all'articolo 2, lettera g), e gli aspetti specifici contemplatidall'articolo 7, lettera a). L'opinione che il consenso di cui trattasi nelladirettiva 2002/58/CE sia da intendersi con riferimento all'articolo 2, letterag), e all'articolo 7, lettera a), in combinato disposto, è confermata dalconsiderando 1741.

III.B.2. Articolo 5, paragrafo 1 - Sesia necessario ottenere il consenso di una o entrambe le parti

"... consenso di questi ultimi ..."

L'articolo 5, paragrafo 1, della direttiva 2002/58/CE tutela lariservatezza delle comunicazioni vietando ogni genere di intercettazione o disorveglianza delle comunicazioni senza il consenso di tutti gli utentiinteressati.

In tal caso, l'articolo 5, paragrafo 1, fa riferimento al consensodi tutti gli utenti interessati o, per dirla altrimenti, dei due interlocutoriche prendono parte alla comunicazione. Il consenso di una sola parte non èsufficiente.

Durante l'elaborazione del suo parere 2/200642, il Gruppo di lavoro "Articolo 29" ha esaminato alcuniservizi che comportavano lo screening dei contenuti di messaggi di postaelettronica e, in alcuni casi, la verifica dell'eventuale apertura dei messaggidi posta elettronica. Il Gruppo di lavoro ha espresso timori in merito al fattoche, per l'erogazione di tali servizi, una delle due parti della comunicazionenon veniva informata. Perché tali servizi siano conformi all'articolo 5,paragrafo 1, è necessario il consenso di entrambe le parti.

III.B.3 Articolo 6, paragrafo 3,articolo 9, articolo 13 e articolo 5, paragrafo 3 – Momento in cui èrichiesto il consenso

".. dopo essere stato informato in modo chiaro e completo, .."

Varie disposizioni della direttiva 2002/58/CE contengonoformulazioni esplicite o implicite per significare che il consenso dev'esseredato prima del trattamento. Ciò è in linea con la direttiva 95/46/CE.

L'articolo 6, paragrafo 3, della direttiva 2002/58/CE contiene unriferimento esplicito alla necessità di ottenere il previo consensodell'abbonato o dell'utente interessato, formulando l'obbligo di fornireinformazioni e di ottenere il previo consenso prima di procedere al trattamentodei dati sul traffico al fine della commercializzazione dei servizi dicomunicazione elettronica o per la fornitura di servizi a valore aggiunto. Pertaluni tipi di servizi, il consenso può essere ottenuto dall'abbonato anche almomento della sottoscrizione al servizio. In altri casi, il consenso potrebbeessere ottenuto direttamente dall'utente. Un approccio di questo genere ècontenuto all'articolo 9, che riguarda il trattamento di dati relativiall'ubicazione diversi dai dati relativi al traffico.

Prima di chiedere il loro consenso, il fornitoredel servizio deve informare gli utenti e gli abbonati sulla natura dei datirelativi all'ubicazione diversi dai dati relativi al traffico che saranno sottopostia trattamento. L'articolo 13 prevede l'obbligo di ottenere il consensopreliminare degli abbonati a utilizzare sistemi automatizzati di chiamata senzaintervento di un operatore, del telefax o della posta elettronica a fini dicommercializzazione diretta.

L'articolo 5, paragrafo 3, stabilisce una norma specifica per archiviareinformazioni o per avere accesso a informazioni archiviate nell'apparecchioterminale di un utente, anche allo scopo di verificare le attività on-linedell'utente. Benché l'articolo 5, paragrafo 3, non usi il termine"preliminare", il riferimento a un momento precedente il trattamento èchiaramente e ovviamente deducibile dal testo della disposizione.

Ottenere il consenso prima dell'inizio del trattamento deidati è una questione di buon senso. In caso contrario, il trattamentoeffettuato nel periodo di tempo che intercorre tra il momento in cui taleoperazione ha avuto inizio e il momento in cui il consenso è stato ottenutosarebbe illegale, perché privo di un fondamento giuridico. Tra l'altro, qualorain un caso del genere l'interessato decidesse di opporsi al trattamento, ogniforma di trattamento dei dati già operata sarebbe illegale anche per questomotivo.

Dal che ne consegue che, se il consenso è obbligatorio,esso dev'essere richiesto prima dell'inizio del trattamento dei dati. Ladecisione di avviare il trattamento senza aver preliminarmente ottenuto ilconsenso è legittima soltanto laddove la direttiva in materia di protezione deidati o la direttiva relativa alla vita privata e alle comunicazionielettroniche, anziché prescrivere il consenso, offrono un motivo alternativo efanno riferimento al diritto dell'interessato di opporsi o di rifiutare iltrattamento. Questi meccanismi sono palesemente diversi dal consenso. In questicasi, infatti, il trattamento potrebbe essere già stato avviato e l'interessatoavrebbe il diritto di opporvisi o di rifiutarlo.

Ne è un esempio l'articolo 5, paragrafo 3, della precedentedirettiva sulla vita privata e le comunicazioni elettroniche, laddove essorecita (sottolineatura aggiunta): "l'uso di reti di comunicazioneelettronica per archiviare informazioni o per avere accesso a informazioniarchiviate nell'apparecchio terminale di un abbonato o di un utente siaconsentito unicamente a condizione che l'abbonato o l'utente interessato siastato informato in modo chiaro e completo, tra l'altro, sugli scopi deltrattamento in conformità della direttiva 95/46/CE e che gli sia offerta lapossibilità di rifiutare tale trattamento da parte del responsabile deltrattamento". Questo testo dovrebbe essere paragonato con il nuovo testodell'articolo 5, paragrafo 3, della direttiva, modificata dalla direttiva2009/136/CE43, in cui si legge che "(...)l'archiviazione di informazioni oppure l'accesso a informazioni giàarchiviate nell'apparecchiatura terminale di un abbonato o di un utente siaconsentito unicamente a condizione che l'abbonato o l'utente in questione abbiaespresso preliminarmente il proprio consenso (...)". Le conseguenze diquesta modifica nella formulazione dell'articolo 5, paragrafo 3, sono già statespiegate dal Gruppo di lavoro "Articolo 29" nel suo parere 2/2010sulla pubblicità comportamentale online44. Nel prossimocapitolo si discuterà anche della differenza tra rifiuto e consenso.

In molti casi in cui la direttiva sulla vita privata e lecomunicazioni elettroniche o la direttiva in materia di protezione dei datiprevede la possibilità di rifiutare il trattamento dei dati personali, ciò èpossibile perché il fondamento giuridico del trattamento iniziale dei datiriguarda motivi di legittimità diversi dal consenso, tra cui per esempiol'esistenza di un contratto. Si avrà modo di discutere questo aspetto nellaprossima sezione, che formula osservazioni in merito all'articolo 13 delladirettiva 2002/58/CE.

III.B.4. Articolo 13, paragrafi 2 e 3– Diritto a opporsi e differenza rispetto al consenso

"...ai clienti sia offerta in modo chiaro e distinto lapossibilità di opporsi ..."

L'articolo 13 della direttiva 2002/58/CE prevede il ricorso alconsenso ai fini dell'invio di comunicazioni elettroniche a scopo legittimo dicommercializzazione diretta, facendo affidamento su un principio standard e suuna disposizione specifica.

In merito all'uso di dispositivi automatici di chiamata, telefax oposta elettronica, impone l'obbligo di ottenere preliminarmente il consensodell'interessato.

Se il destinatario della comunicazione commerciale è un clientegià acquisito e la comunicazione si prefigge lo scopo di promuovere i prodottio i servizi del fornitore o prodotti e servizi analoghi, non è necessariorichiedere il consenso bensì fare in modo che agli interessati sia offerta "lapossibilità di opporsi" ai sensi dell'articolo 13, paragrafo 2. Ilconsiderando 41 spiega il motivo per cui il legislatore, in questo caso, non haprevisto il ricorso al consenso: "Nel contesto di una relazione di clientelagià esistente è ragionevole consentire l'uso delle coordinate elettroniche peroffrire prodotti o servizi analoghi". Pertanto, in linea di principio, larelazione contrattuale tra l'interessato e il fornitore di servizi costituisceil motivo legittimante che permette il primo contatto mediante postaelettronica. Gli interessati tuttavia dovrebbero avere la possibilità diopporsi a ulteriori contatti. Come il Gruppo di lavoro ha già avuto modo dispiegare: "Tale opportunità dovrebbe continuare ad essere offertagratuitamente per ogni successivo messaggio a scopi di commercializzazionediretta, ad eccezione degli eventuali costi relativi alla trasmissione del suorifiuto".45

Si dovrebbe fare una distinzione tra l'obbligo a ottenere ilconsenso e il diritto a opporsi. Come si è detto nel capitolo III.A.2, ilconsenso fondato sulla mancata azione dell'interessato, per esempio mediantecaselle preselezionate, non soddisfa i requisiti per il consenso valido aisensi della direttiva 95/46/CE. La stessa conclusione si trae nei confronti diimpostazioni del browser che per default permetterebbero la trasmissioneall'utente (mediante l'uso di cookies). Sulla stessa linea è anche il nuovotesto dell'articolo 5, paragrafo 3, citato supra al capitolo III.B.3. Inquesti due esempi non sono soddisfatti, in particolare, i requisiti per unamanifestazione della volontà univoca dell'interessato. » fondamentale cheall'interessato sia offerta l'opportunità di prendere una decisione e dimanifestare la propria volontà, per esempio selezionando la casella di propriainiziativa, in vista delle finalità del trattamento dei dati.

Nel suo parere sulla pubblicità comportamentale il Gruppo dilavoro ha concluso che "è di estrema importanza che i browsers siano dotatidi impostazioni di default a tutela della privacy o, in altre parole, che sianoprovvisti dell'impostazione di 'non accettazione e non trasmissione di cookiedi terzi'. A integrazione di ciò e ai fini di una maggiore efficacia, allaprima installazione o al momento dell'aggiornamento del browser, quest'ultimodovrebbe richiedere all'utente di procedere attraverso una procedura guidatarelativa alla privacy, offrendo così un modo semplice per esercitare la sceltadurante l'uso"46.

III.B.5. Articolo 6, paragrafo 3, earticolo 9, paragrafi 3 e 4 – Possibilità di revocare il consenso

"... possibilità di ritirare il loro consenso ... inqualsiasi momento..."

La possibilità di revocare il consenso in qualsiasi momento, che èimplicita nella direttiva 95/46/CE, è espressa in varie disposizioni delladirettiva 2002/58/CE. Lo stesso concetto è stato esplicitamente formulato nelparere del Gruppo di lavoro sull'uso di dati relativi all'ubicazione al fine difornire servizi a valore aggiunto47:

"Ai sensi dell'articolo 9 della direttiva 2002/58/CE, coloroche hanno dato il proprio consenso al trattamento dei dati relativiall'ubicazione diversi dai dati relativi al traffico possono ritirare il loroconsenso in qualsiasi momento e devono avere la possibilità di negare, in viatemporanea, mediante una funzione semplice e gratuitamente, il trattamento ditali dati. Il gruppo di lavoro considera tali diritti – che possonoessere considerati un'applicazione del diritto di opposizione al trattamentodei dati relativi all'ubicazione – come fondamentali, vista la naturadelicata di tali dati. Il gruppo di lavoro ritiene che l'informazione dellepersone – non solo quando si abbonano ad un servizio ma anche quando loutilizzano – sia una condizione preliminare per l'esercizio di talidiritti. Nel caso in cui un servizio necessiti del trattamento continuativo deidati relativi all'ubicazione, il gruppo di lavoro ritiene che il fornitore diservizi debba far presente periodicamente alla persona interessata che il suoterminale è stato, sarà o può essere localizzato. Ciò consentirà a tale personadi esercitare il diritto di revoca ai sensi dell'articolo 9 della direttiva2002/58/CE, qualora essa lo desideri."

Come si è detto, ciò implica che il diritto di revoca è esercitatoin riferimento al futuro, e non in relazione al trattamento di dati che già èavvenuto in passato, nel periodo in cui i dati sono stati raccolti in manieralegittima. Quindi, le decisioni prese o i processi avviati in precedenza inbase a tali informazioni non possono essere semplicemente annullati. Tuttavia,qualora non sussistesse un altro fondamento giuridico per legittimarel'ulteriore archiviazione dei dati, questi dovrebbero essere cancellati dalresponsabile del trattamento.

IV.    Conclusioni

Il presente parere esamina il quadro giuridico relativo all'usodel consenso ai sensi della direttiva 95/46/CE e della direttiva 2002/58/CE.L'obiettivo di tale documento è duplice: in primo luogo, esso mira a chiariregli obblighi di legge esistenti e a illustrare in che modo essi si applicanonella pratica. In secondo luogo, così facendo offre una riflessionesull'adeguatezza del quadro esistente alla luce delle numerose nuove modalitàdi trattamento dei dati personali o sulla necessità di introdurvi modifiche.

IV.1. Chiarimento degli aspettifondamentali del quadro attuale

L'articolo 2, lettera h), della direttiva 95/46/CE definisce ilconsenso come "qualsiasi manifestazione di volontà libera, specifica einformata con la quale la persona interessata accetta che i dati personali chela riguardano siano oggetto di un trattamento". L'articolo 7 delladirettiva, che stabilisce il fondamento giuridico per il trattamento dei datipersonali, individua tra i motivi di liceità il consenso manifestato inmaniera inequivocabile. L'articolo 8 prescrive la necessità di ottenere unconsenso esplicito per legittimare il trattamento dei dati sensibili.L'articolo 26, paragrafo 1, della direttiva 95/46/CE e svariate disposizionidella direttiva 2002/58/CE impongono l'obbligo di ottenere il consenso perpoter intraprendere attività specifiche di trattamento dei dati che ricadononell'ambito di applicazione delle direttive stesse. I punti sviluppati nelpresente parere mirano a chiarire i vari elementi di tale quadro giuridico, alloscopo di facilitarne l'applicazione da parte delle parti interessate ingenerale.

Elementi/osservazioni di naturagenerale

Ä Il consenso è uno dei sei criteriche legittimano il trattamento dei dati personali (uno dei cinque per quantoconcerne il trattamento dei dati sensibili); esso è un elemento importante,poiché conferisce all'interessato una forma di controllo sul trattamento deidati che lo riguardano. L'importanza del consenso a garanzia dell'autonomia edell'autodeterminazione dell'individuo è subordinata al fatto che esso siautilizzato nel giusto contesto e con gli elementi necessari.

Ä In generale, il quadro giuridicodella direttiva 95/46/CE si applica ogniqualvolta viene richiesto il consensoall'interessato, sia nel mondo off-line sia in quello on-line. Si prendal'esempio di un rivenditore di mattoni e malte che desidera chiedere alla suaclientela di aderire a un programma di fedeltà: le stesse regole siapplicherebbero sia nel caso in cui questi ricorresse a un modulo cartaceo, sianell'eventualità in cui si avvalesse a tal fine del proprio sito Internet.Inoltre, la direttiva 2002/58/CE elenca alcune operazioni di trattamento deidati che sono subordinate al rilascio del consenso: esse riguardano perlopiù iltrattamento dei dati in relazione alla fornitura di servizi di comunicazioneelettronica accessibili al pubblico. Gli obblighi previsti dalla direttiva2002/58/CE affinché il consenso possa essere considerato valido sono gli stessiindicati nella direttiva 95/46/CE.

Ä Le situazioni nelle quali ilresponsabile del trattamento usa il consenso per legittimare il trattamento deidati personali non andrebbero confuse con le situazioni in cui il responsabiledel trattamento invoca altri motivi per legittimare il trattamento che comportanoil diritto dell'interessato a opporsi. » il caso, per esempio, di un'operazionedi trattamento che poggi sull'"interesse legittimo" del responsabile deltrattamento ai sensi dell'articolo 7, lettera f), della direttiva 95/46/CE, neiconfronti del quale l'interessato ha il diritto di opporsi a normadell'articolo 14, lettera a), della direttiva 95/46/CE. Un altro esempio èquello di un responsabile del trattamento che invia comunicazioni di postaelettronica ai suoi clienti per promuovere prodotti o servizi propri o simili:in tal caso gli interessati hanno diritto a opporsi al trattamento ai sensidell'articolo 13, paragrafo 2, della direttiva 2002/58/CE. In entrambi i casil'interessato ha diritto a opporsi al trattamento e questa situazione non puòessere equiparata al consenso.

Ä Il fatto di ottenere il consenso al trattamento dei dati personalinon solleva il responsabile del trattamento dall'obbligo di rispettare le altreprescrizioni del quadro giuridico in materia di protezione dei dati, peresempio il principio di proporzionalità di cui all'articolo 6, paragrafo 1,lettera c), la sicurezza del trattamento a norma dell'articolo 17, ecc.

Ä Un consenso valido presuppone lacapacità di un individuo di manifestare il proprio consenso. Le norme chedisciplinano la capacità di manifestare il consenso non sono armonizzate e,pertanto, possono variare da Stato membro a Stato membro.

Ä Le persone che hanno manifestatoil proprio consenso dovrebbero avere la possibilità di revocarlo, al fine diimpedire un trattamento supplementare dei dati che le riguardano. Taleprincipio è confermato anche dalla direttiva 2002/58/CE nel caso di operazionispecifiche di trattamento dei dati legittimate dal consenso, come iltrattamento di dati relativi all'ubicazione diversi dai dati relativi altraffico.

Ä Il consenso deve essere fornitoprima che abbia inizio il trattamento dei dati personali, ma può anche essereobbligatoriamente ottenuto una seconda volta nel corso del trattamento, se lafinalità dello stesso dovesse cambiare. Tale obbligo è sottolineato più voltedalla direttiva 2002/58/CE, sia mediante il ricorso al termine "preliminare"(per esempio, articolo 6, paragrafo) sia nella formulazione delle suedisposizioni (per esempio, articolo 5, paragrafo 3).

Elementi specifici del quadrogiuridico relativo al consenso

Ä Perché il consenso sia valido,esso dev'essere una manifestazione di volontà libera. Ciò significa chenon dev'esserci il rischio di raggiri, intimidazioni o conseguenze negativesignificative per l'interessato che decide di non dare il proprio consenso. Peralcune operazioni di trattamento dei dati in un contesto di lavoro in cui visia un elemento di subordinazione, nonché nel contesto di servizi governativicome il servizio sanitario, potrebbe essere necessario svolgere un'attentaanalisi per stabilire se gli interessati siano realmente liberi di accettare iltrattamento.

Ä Il consenso deve essere specifico.Un consenso totale, senza che siano specificate le finalità esatte deltrattamento, non soddisfa questo principio. Nel caso di un contratto, talerequisito obbliga il responsabile del trattamento a introdurre specificheclausole relative al consenso, chiaramente distinte dalle condizioni generali,evitando dunque di inserire le informazioni sul trattamento dei dati nellecondizioni generali.

Ä Il consenso deve essere informato.Gli articoli 10 e 11 della direttiva elencano le tipologie di informazioniche devono necessariamente essere fornite agli interessati. In ogni caso, leinformazioni fornite devono essere sufficienti per permettere agli interessatidi adottare decisioni informate sul trattamento dei dati personali che liriguardano. La necessità che il consenso sia "informato" implica altri duerequisiti aggiuntivi. In primo luogo, le modalità con cui sono fornite leinformazioni devono garantire l'uso di un linguaggio adeguato, affinché gliinteressati siano consapevoli delle attività che accettano e delle finalità daqueste perseguite. Ciò dipende dal contesto. Il ricorso a un linguaggiogiuridico o tecnico oltremodo astruso non sarebbe compatibile con talirequisiti di legge. In secondo luogo, le informazioni fornite agli utentidovrebbero essere chiare e sufficientemente esaustive, in maniera tale che gliutenti non possano ignorarle. Le informazioni devono essere fornitedirettamente agli interessati. Non è sufficiente che esse siano meramentedisponibili in qualche luogo.

Ä Quanto alle modalità con cui ilconsenso dev'essere manifestato, l'articolo 8, paragrafo 2, lettera a),prescrive l'obbligo di ottenere un consenso esplicito per poterprocedere al trattamento di dati sensibili; ciò significa che l'interessatodeve rispondere attivamente, verbalmente o per iscritto, per manifestare la suavolontà di accettare il trattamento dei dati che lo riguardano per determinatefinalità. Ne consegue che non è possibile ottenere un consenso esplicitomediante il ricorso a una casella preselezionata. L'interessato deve compiereun'azione positiva per manifestare il proprio consenso e deve quindi esserelibero di negarlo.

Ä Per i dati diversi dai datisensibili, l'articolo 7, lettera a), prevede che il consenso sia manifestato inmaniera inequivocabile. Il termine "inequivocabile" impone il ricorsoall'uso di meccanismi per l'ottenimento del consenso che non lasciano adito adubbi quanto all'intenzione dell'interessato di accettare il trattamento. Alivello pratico, tale obbligo permette ai responsabili del trattamento diutilizzare vari tipi di meccanismi per ottenere il consenso, dalledichiarazioni di assenso (consenso esplicito) ai meccanismi che fannoaffidamento su azioni finalizzate a esprimere un assenso.

Ä L'inazione o il silenziodell'interessato intesi come manifestazioni di consenso solitamente nonrappresentano un consenso valido, soprattutto in un contesto on-line. Ilproblema sorge, in particolare, in caso di utilizzo di impostazioni di defaultche l'interessato è tenuto a modificare per negare il trattamento. Ne è unesempio l'uso di caselle preselezionate o di impostazioni dei browser che sonopredisposte per default alla raccolta di dati.

IV.2 Valutazione del quadro attuale edella possibile necessità di modifiche

Valutazione generale

Il Gruppo di lavoro ritiene che l'attuale quadro giuridico inmateria di protezione dei dati contenga un insieme di norme ben concepite chestabiliscono le condizioni per considerare valido il consenso al fine dilegittimare le operazioni di trattamento dei dati. Tali norme si applicano almondo off-line così come a quello on-line. Più nello specifico:

il quadro giuridico garantisce l'equilibrio rispetto a una seriedi problematiche. Da un lato, assicura che soltanto un consenso reale einformato sia considerato tale. A tale proposito, l'articolo 2, lettera h), concui esplicitamente si prevede che il consenso sia libero, specifico einformato, è rilevante e soddisfacente. Dall'altro lato, tale obbligo nonrappresenta una camicia di forza, ma fornisce una flessibilità sufficiente,evitando norme specifiche sotto il profilo tecnico. Ne è un esempio lo stessoarticolo 2, lettera h), laddove definisce il consenso una qualsiasimanifestazione della volontà dell'interessato. Ciò offre un sufficiente marginedi manovra in termini di modalità per fornire tale manifestazione di volontà.Gli articoli 7 e 8, che prescrivono rispettivamente un consenso inequivocabileed esplicito, rispecchiano perfettamente la necessità di garantire un equilibrotra le due opposte questioni, quella cioè di offrire flessibilità ed evitarestrutture oltremodo rigide e quella di garantire protezione.

Il risultato è un quadro normativo che, se adeguatamente applicatoe attuato, è in grado di tenere il passo con l'ampia varietà di operazioni ditrattamento dei dati che spesso sono rese possibili dagli sviluppi tecnologici.

Nella pratica, tuttavia, non è sempre facile stabilire quando ènecessario ottenere il consenso dell'interessato e, più in particolare,individuare i requisiti che rendono valido il consenso, nonché le modalità permetterli concretamente in atto, e ciò a causa di una mancanza di uniformità traStati membri. A livello nazionale l'attuazione delle direttive è avvenuta sullabase di approcci diversi. Gli elementi critici più specifici che sono emersidurante le discussioni condotte dal Gruppo di lavoro "Articolo 29",che hanno portato all'elaborazione del presente parere, sono descritti diseguito in maniera più dettagliata.

Possibili modifiche

Ä La nozione di consensoinequivocabile è utile per definire un sistema che non sia oltremodo rigido mache possa comunque fornire una robusta protezione. Tuttavia, se è vero chesussistono le potenzialità per sviluppare un sistema ragionevole, altrettantocerto è che, purtroppo, il suo significato viene spesso frainteso osemplicemente ignorato. Le indicazioni e gli esempi forniti nel presente pareredovrebbero contribuire a migliorare la certezza del diritto e la protezione deidiritti degli interessati nel caso in cui il consenso sia utilizzato comefondamento giuridico; al tempo stesso, il quadro tracciato sembra necessitaredi alcune modifiche.

Ä Più in particolare, il Gruppo dilavoro "Articolo 29" ritiene che la formulazione stessa ("in manierainequivocabile") potrebbe beneficiare di ulteriori chiarimenti nell'ambito diuna revisione del quadro normativo generale in materia di protezione dei dati.I chiarimenti introdotti dovrebbero avere lo scopo di spiegare che il consensomanifestato in maniera inequivocabile prevede l'uso di meccanismi che nonlascino dubbi circa l'intenzione dell'interessato di manifestare il proprioassenso. Al tempo stesso occorrerebbe precisare che l'uso di soluzioni didefault che l'interessato dovrebbe modificare per poter negare il trattamento(consenso fondato sul silenzio) di per sé non costituisce un consensoinequivocabile. Ciò vale in particolare per l'ambiente on-line.

Ä Oltre al chiarimento di cui sopra, il Gruppo di lavoro 29suggerisce quanto segue:

i. In primo luogo, includere nelladefinizione di consenso di cui all'articolo 2, lettera h), il termine"inequivocabile" (o un termine equivalente) allo scopo di rafforzare ilconcetto che soltanto un consenso fondato su dichiarazioni o azioni intese aesprimere accettazione costituisce un valido consenso. Oltre ad aggiungerechiarezza, ciò permetterebbe di allineare la nozione di consenso di cui

Ä all'articolo 2, lettera h), conle prescrizioni riguardanti il consenso valido di cui all'articolo 7. Inoltre,il significato del termine "inequivocabile" potrebbe essere ulteriormenteprecisato in un considerando del futuro quadro giuridico.

ii.      In secondoluogo, nell'ambito di un obbligo generale di rendiconto, i responsabilidel trattamento dovrebbero essere nella condizione di dimostrare che ilconsenso è stato ottenuto. Infatti, se l'onere della prova sarà rafforzato inmodo da imporre ai responsabili del trattamento l'obbligo di dimostrare di avereffettivamente ottenuto il consenso dell'interessato, questi saranno tenuti amettere in atto pratiche e meccanismi standard volti a ricercare e dimostrareun consenso inequivocabile. Il tipo di meccanismo dipenderà dal contesto edovrebbero tener conto dei fatti e delle circostanze del trattamento, più inparticolare dei suoi rischi.

Il Gruppo di lavoro "Articolo 29" non è convinto dellanecessità di introdurre nel quadro il concetto di "consenso esplicito" comeregola generale per tutte le operazioni di trattamento, comprese quelleattualmente contemplate dall'articolo 7 della direttiva. Esso è del parere,infatti, che il consenso inequivocabile, che comprende il consenso esplicito maanche il consenso derivante da azioni inequivocabili, dovrebbe rimanerela norma. Tale scelta offre maggiore flessibilità ai responsabili dei datinella raccolta del consenso e la procedura generale potrebbe essere più rapidae di più agevole applicazione.

Vari aspetti del quadro giuridico che si applicano al consensopossono essere dedotti dal tenore degli atti in questione o dalla sua storialegislativa, oppure sono scaturiti dalla giurisprudenza e dai pareri del Gruppodi lavoro "Articolo 29". Se tali aspetti fossero espressamenteintegrati nel nuovo quadro legislativo in materia di protezione dei dati, siavrebbe una maggiore certezza del diritto. Potrebbero essere presi inconsiderazione i seguenti elementi:

i. l'inclusionedi una clausola esplicita che istituisca il diritto degli interessati arevocare il consenso.

ii.      Il rafforzamento della nozioneche il consenso dev'essere manifestato prima dell'inizio del trattamento, oprima di qualsiasi eventuale ulteriore utilizzo dei dati per finalità diverserispetto a quelle per le quali era stato ottenuto il consenso iniziale,nell'eventualità in cui non vi siano altri fondamenti giuridici che legittimanoil trattamento.

iii. L'inclusionedi obblighi espliciti in materia di qualità (obbligo a fornire informazioni sultrattamento dei dati in modo che siano facilmente comprensibili, in unlinguaggio chiaro e semplice) e di accessibilità delle informazioni (obbligo difornire informazioni esaustive, rilevanti e direttamente accessibili). Ciò èfondamentale per consentire agli interessati di adottare decisioni informate.

Ä Infine, per quanto riguarda le persone prive della capacità diagire, si potrebbero prevedere disposizioni che garantiscono una maggioreprotezione, tra cui:

i. chiarimenti in merito alle circostanze in cui è richiesto ilconsenso dei genitori o rappresentanti di un soggetto privo della capacità diagire, compresa la soglia di età al di sotto della quale tale consenso sarebbeobbligatorio.

ii. Definizione dell'obbligo di utilizzare meccanismi di verificadell'età, che potrebbero cambiare a seconda delle circostanze come l'età diminori, il tipo di trattamento, il grado di rischio implicato, la destinazione finaledelle informazioni (se cioè saranno custodite dal responsabile del trattamentoo messe a disposizione di terzi).

iii. L'obbligo di adattare le informazioni ai minori, se ciò fosseutile per consentire a tali soggetti di comprendere le implicazioni dellaraccolta di informazioni che li riguardano, e quindi della manifestazione delconsenso.

iv. Specifiche salvaguardie che identifichino le attività ditrattamento dei dati, come la pubblicità comportamentale, nell'ambito dellequali il consenso non dovrebbe essere un fondamento possibile per legittimareil trattamento dei dati personali.

Il Gruppo di lavoro "Articolo 29" riesaminerà laquestione del consenso. Più in particolare, le autorità nazionali per laprotezione dei dati, oltre che il Gruppo di lavoro, potrebbero decidere in unsecondo tempo di redigere linee guida per approfondire il presente parere,fornendo nuovi esempi pratici connessi all'uso del consenso.

Fatto a Bruxelles, 13 luglio 2011

Per il Gruppo di lavoro,

Il Presidente Jacob KOHNSTAMM

NOTE         
1 COM(2010) 609 definitivo del 4.11.2010.

2 La prima relazionedella Commissione sull'applicazione della direttiva sulla tutela dei dati(95/46/CE) (COM (2003) 265 definitivo), già menzionata a pag. 17: "Soprattuttola nozione di 'consenso in maniera inequivocabile' (articolo 7, lettera a)), separagonata alla nozione di 'consenso esplicito' di cui all'articolo 8, richiedeun ulteriore chiarimento e un'interpretazione più uniforme. » necessario chegli operatori sappiano che cosa si debba intendere per valido consenso, inparticolare nelle situazioni in linea."

3 Tra questi ilparere 8/2010 sul diritto applicabile, adottato il 16.12.2010 (GL 179), e ilparere 1/2010 sulle nozioni di "responsabile del trattamento" e "incaricato deltrattamento", adottato il 16.2.2010 (GL 169).

4 Cfr., per esempio,l'articolo 31 della Legge n. 78-17 del 6 gennaio 1978 "relative al'informatique, aux fichiers et aux libertés".

5 La Convenzionesulla protezione delle persone rispetto al trattamento automatizzato di dati acarattere personale (denominata "Convenzione n. 108"). » entrata in vigore l'1ottobre 1985.

6 La Convenzione n.108 ha introdotto le nozioni di "trattamento legittimo" e di "fine legittimo"(articolo 5), ma a

differenza delladirettiva 95/46/CE non contiene un elenco di criteri da soddisfare per illegittimo trattamento dei dati. Il consenso dell'interessato gioca un ruolospecifico soltanto nell'ambito dell'assistenza reciproca (articolo 15).Tuttavia, il requisito del "consenso" è stato menzionato successivamente in piùoccasioni in varie raccomandazioni del Comitato dei ministri.

7 Proposta didirettiva del Consiglio concernente la protezione delle persone relativamenteal trattamento dei dati personali, COM (90), 314 definitivo, SYN 287 e 288, Bruxelles,13 settembre 1990.

8 Proposta modificatadi direttiva del Consiglio relativa alla tutela delle persone fisiche conriguardo al trattamento dei dati personali, nonché alla libera circolazione ditali dati, COM(92) 422 DEF- SYN 287, Bruxelles, 15 ottobre 1992.

9 Cfr. la pag. 11della proposta modificata di direttiva del Consiglio relativa alla tutela dellepersone fisiche con riguardo

al trattamento deidati personali, nonché alla libera circolazione di tali dati, COM(92) 422 DEF-SYN 287, Bruxelles, 15 ottobre 1992.

10 Posizione comunedel Consiglio concernente la proposta di direttiva del Parlamento e delConsiglio relativa alla tutela

delle persone fisichecon riguardo al trattamento dei dati personali, nonché alla libera circolazionedi tali dati, (00/287) COD, adottata il 15 marzo 1995.

11 Cfr. la pagina 4della posizione comune.

12 Sentenza dellaCorte (grande sezione) del 5 ottobre 2004, Pfeiffer, Roith, S¸fl, Winter,Nestvogel, Zeller, Dˆbele, nelle cause riunite da C-397/01 a C-403/01.

13 A titolo diesempio, la versione tedesca della direttiva (così come la legge federaletedesca in materia di protezione dei dati) ricorre alla nozione di"Einwilligung". Nel codice civile tedesco il termine è definito come "previaautorizzazione".

14 WP 114 – Documentodi lavoro del Gruppo di lavoro articolo 29 su un'interpretazione comunedell'articolo 26, paragrafo 1, della direttiva 95/46/CE del 24 ottobre 1995.

15 Parere del Garanteeuropeo della protezione dei dati del 14 gennaio 2011 sulla comunicazione dellaCommissione al Parlamento europeo, al Consiglio, al Comitato economico esociale europeo e al Comitato delle regioni – "Un approccio globale allaprotezione dei dati personali nell'Unione europea".

16 Parere n. 168 delGruppo di lavoro articolo 29 sul futuro della vita privata, contributocongiunto alla consultazione della

Commissione europeasul quadro legale per il diritto fondamentale alla protezione dei datipersonali, adottato il 1∞ dicembre 2009.

17 Parere del Garanteeuropeo della protezione dei dati del 14 gennaio 2011, op. cit.

18 Il WP 162sull'Agenzia Mondiale Antidoping perviene alla medesima conclusione: "Tenutoconto delle sanzioni e delle

conseguenze previstenell'eventualità che i partecipanti si sottraggano agli obblighi imposti dal codice(ad esempio fornire le informazioni sul luogo di permanenza), il Gruppo dilavoro non può in nessun caso considerare libero il consenso dato".

19 WP 48 sultrattamento dei dati personali nel contesto dell'occupazione. A tale riguardo èpertinente anche il WP 114 –

Documento di lavorodel Gruppo di lavoro articolo 29 su un'interpretazione comune dell'articolo 26,paragrafo 1, della direttiva 95/46/CE del 24 ottobre 1995.

20 Cfr. la letteradell'11 febbraio 2009 inviata dal presidente del Gruppo di lavoro articolo 29al sig. Daniel CALLEJA

CRESPO, direttoredella DG TREN, sulla questione dei body scanner, in risposta alla consultazionedella Commissione sul tema "l'impatto dell'uso dei body scanner nel campo dellasicurezza aerea sui diritti dell'uomo, sulla vita privata, sulla dignitàpersonale, sulla salute e sulla protezione dei dati". Disponibile all'indirizzohttp://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2009-others_en.htm.

21 Cfr. il parere6/2002 del Gruppo di lavoro articolo 29 relativo alla trasmissione da partedelle compagnie aeree d'informazioni sugli elenchi dei passeggeri e di altridati agli Stati Uniti.

22 Sentenza dellaCorte 5 maggio 2011, Deutsche Telekom AG (causa C-543/09). La causa è iniziatacon il rinvio operato dal tribunale amministrativo federale tedesco in meritoagli elenchi telefonici e, in particolare, all'interpretazione dell'articolo25, paragrafo 2, della direttiva relativa al servizio universale (2002/22/CE) edell'articolo 12, paragrafo 2, della direttiva relativa alla vita privata ealle comunicazione elettroniche (2002/58/CE). Essa è chiaramente collegata alruolo specifico degli elenchi di cui trattasi nella direttiva relativa alservizio universale.

23 WP 131 – Documento di lavoro sul trattamento deidati personali relativi alla salute contenuti nelle cartelle clinicheelettroniche.

24 WP 12 –Documento di lavoro. Trasferimento di dati personali verso paesi terzi:applicazione degli articoli 25 e 26 della

direttiva europeasulla tutela dei dati. Cfr. anche il WP 114 – Documento di lavoro delGruppo di lavoro articolo 29 concernente un'interpretazione comunedell'articolo 26, paragrafo 1, della direttiva 95/46/CE del 24 ottobre 1995.

25 Cfr. la nota 12(capitolo II.2)

26 Documento dilavoro 1/2008 sulla protezione dei dati personali dei minori, WP 147, 18febbraio 2008.

27 Il Gruppo dilavoro articolo 29 ha formulato una raccomandazione simile nel suo parere2/2010 sulla pubblicità comportamentale online, adottato il 22 giugno 2010 (WP171).

28 Il Fondo europeo agricolo di garanzia (FEAGA) e il Fondoeuropeo agricolo per lo sviluppo rurale (FEASR).

29 Conclusionidell'avvocato generale Sharpston del 17 giugno 2010, Volker und Markus ScheckeGbR, nelle cause riunite C-92/09 e C-93/09. Si deve osservare che, nellasentenza del 9 novembre 2010, la Corte ha stabilito che il trattamento dei datinon era fondato sul consenso: "63. La normativa dell'Unione in questione,che si limita a disporre che i beneficiari di aiuti saranno preventivamenteinformati della pubblicazione dei dati che li riguardano, non mira dunque afondare il trattamento dei dati personali da essa previsto sul consenso deibeneficiari interessati."

30 Parere 5/2004relativo alle comunicazioni indesiderate a fini di commercializzazione direttaai sensi dell'articolo 13 della direttiva 2002/58/CE, adottato il 27 febbraio2004 (WP 90).

31 WP 131 –Documento di lavoro sul trattamento dei dati personali relativi alla salutecontenuti nelle cartelle cliniche elettroniche (CCE).

32 Taleinterpretazione è in linea con la legislazione dell'UE, prevalentemente sulcommercio elettronico e sul più ampio uso delle firme digitali, che hacostretto gli Stati membri a modificare la propria legislazione contenenteobblighi formali sulla necessità che i documenti siano "in forma scritta" e"scritti a mano" per rendere accettabili anche i documenti elettronici, acondizione che siano soddisfatte determinate condizioni.

33 A tale proposito,cfr. per esempio la legislazione greca e tedesca sui requisiti previsti per latrasmissione del consenso con mezzi elettronici, che impone l'obbligo diregistrare il consenso in maniera sicura, che prevede la possibilità di esserecontattati dall'utente o dall'abbonato in qualsiasi momento e secondo cui ilconsenso può essere revocato in qualsiasi momento (articolo 5, paragrafo 3,della legge greca 3471/2006 sulla protezione dei dati personali nel settoredelle comunicazioni elettroniche; articolo 13, paragrafo 2, della legge tedescasui servizi telematici, articolo 94 della legge tedesca sulle telecomunicazionie articolo 28, paragrafo 3 bis della legge federale tedesca in materiadi protezione dei dati).

34 L'analisi dellecondizioni tecniche che devono essere soddisfatte affinché documentielettronici e firme digitali abbiano

analogo valoreprobatorio degli equivalenti manoscritti esula dall'ambito di applicazione delpresente parere. Si tratta di una questione che trascende la legislazione inmateria di protezione dei dati e che è già stata disciplinata a livello di UE.

35 Questo perché sipresume automaticamente che l'uso di alcuni tipi di firma digitale (firmeelettroniche avanzate basate

su un certificatoqualificato e che sono prodotte da un dispositivo per la creazione di una firmasicura) abbia il medesimo valore legale come prova degli equivalenti scritti.

36 WP 12 –Documento di lavoro. Trasferimento di dati personali verso paesi terzi:applicazione degli articoli 25 e 26 della direttiva europea sulla tutela deidati, adottato il 24 luglio 1998.

37 Documento dilavoro concernente un'interpretazione comune dell'articolo 26, paragrafo 1,della direttiva 95/46/CE del 24 ottobre 1995, adottato il 25 novembre 2005.

38 WP 147 –Documento di lavoro 1/2008 sulla protezione dei dati a carattere personale deiminori (Principi generali e

caso specifico dellescuole); WP 160 – Parere 2/2009 sulla protezione dei dati personali deiminori (Principi generali e caso specifico delle scuole).

39 Direttiva2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009,recante modifica della direttiva 2002/22/CE relativa al servizio universale eai diritti degli utenti in materia di reti e di servizi di comunicazioneelettronica, della direttiva 2002/58/CE relativa al trattamento dei datipersonali e alla tutela della vita privata nel settore delle comunicazionielettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra leautorità nazionali responsabili dell'esecuzione della normativa a tutela deiconsumatori, 18.12.2009.

40 L'espressione"dati sul traffico" si riferisce al trattamento dei dati al fine di trasmettereuna comunicazione su una rete di

comunicazionielettroniche o per la fatturazione di tale comunicazione, tra cui i datiriguardanti l'instradamento del traffico, la durata o l'ora di unacomunicazione.

41 Nel quale si legge: "Ai finidella presente direttiva il consenso (..) dovrebbe avere lo stesso significatodel consenso della persona interessata come definito ed ulteriormentedeterminato nella direttiva 95/46/CE".

42 Parere 2/2006sugli aspetti di tutela della vita privata inerenti ai servizi di screening deimessaggi di posta elettronica, adottato il 21 febbraio 2006 (WP 118).

43 Direttiva2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009,recante modifica della direttiva

2002/22/CE relativaal servizio universale e ai diritti degli utenti in materia di reti e diservizi di comunicazione elettronica, della direttiva 2002/58/CE relativa altrattamento dei dati personali e alla tutela della vita privata nel settoredelle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sullacooperazione tra le autorità nazionali responsabili dell'esecuzione dellanormativa a tutela dei consumatori (Testo rilevante ai fini del SEE), GU L 337del 18.12.2009, pag. 11

44 Parere del 22giugno 2010, WP 171: la questione se il consenso possa essere manifestatomediante "l'uso delle

opportuneimpostazioni di un motore di ricerca o di un'altra applicazione" [considerando66 della direttiva 2009/136/CE] è esplicitamente esaminata al punto 4.1.1 delWP 171.

45 Parere 5/2004relativo alle comunicazioni indesiderate a fini di commercializzazione direttaai sensi dell'articolo 13 della direttiva 2002/58/CE, adottato il 27 febbraio2004.

46 Parere del 22giugno 2010, WP 171, op. cit.

47 Parere 5/2005sull'uso di dati relativi all'ubicazione al fine di fornire servizi a valoreaggiunto, adottato il 25 novembre 2005 (WP 115).